基于自反ACL和时间ACL的应用分析与网络设计

ACL在网络安全的应用仿真提纲：1. ACL的概念和原理2. ACL在网络安全中的应用3. ACL在网络安全中的应用模拟仿真4. ACL模拟仿真的优点和局限性5. ACL模拟仿真的未来发展趋势提纲一：ACL的概念和原理ACL（Access Control List，访问控制列表）是一个被广泛应用于网络安全领域的概念。

ACL可以允许或拒绝网络中的特定主机或主机组的特定资源的访问。

访问控制列表的使用是一种最基本的网络安全措施，可以有效的控制网络的安全性。

ACL通过一系列规则控制网络的访问权限，这些规则基于一些参数，如IP地址、端口、协议等。

ACL将这些参数组织成一个列表，并且根据这些参数来决定允许或拒绝访问请求。

ACL的原理是通过比较源地址、目的地址和端口号等信息来实现对网络的访问进行控制。

ACL分为三种类型：标准ACL、扩展ACL和命名ACL。

标准ACL是最简单的类型，只能根据源IP地址实现过滤。

扩展ACL能够在根据源IP地址的基础上增加端口和目的IP地址的过滤条件，能够提供更多的控制选项。

命名ACL结构更为复杂，可以包含多个规则。

此外，ACL还包括访问列表控制（ALC）和用户控制列表（UCL）。

提纲二：ACL在网络安全中的应用随着网络的普及，网络安全问题越来越严重，ACL在网络安全中起到了重要的作用。

ACL在网络安全领域中的应用非常广泛，常见的应用场景如下：1. 防火墙：ACL是防火墙的重要组成部分，可以通过访问控制策略对网络流量进行限制。

2. 路由器：ACL也可用于路由器中，可根据路由器进行流量比较的规则对网络流量进行过滤和限制。

3. 数据库：ACL可用于限制数据库的访问权限，只有经过授权的用户才能访问数据库。

4. 网络应用：ACL可应用于各种互联网应用，如FTP、Telnet、NFS、NTP等。

提纲三：ACL在网络安全中的应用模拟仿真ACL看似简单却非常重要，模拟仿真ACL能够帮助我们深入理解ACL的工作原理、应用场景和安全性能。

ACL技术原理浅析及实例ACL（Access Control List）是网络安全中用于实现访问控制的一种技术，它通过对网络流量进行过滤，只允许特定的用户、IP 地址、端口等可以通过网络。

通常，ACL技术应用于路由器、交换机、防火墙等网络设备中。

ACL主要基于两种原理：允许列表和拒绝列表。

允许列表是指只有特定的用户、网络地址、端口等得到许可，其他所有的流量都被阻挡。

拒绝列表则是指特定的用户、网络地址、端口等被拒绝，其他所有的流量都被允许通过。

通常情况下，ACL的实现是基于拒绝列表，因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。

ACL可以应用于多种场景中，其中最常见的场景是网络边缘（如路由器和交换机）和防火墙控制。

以下是两个ACL实例：实例1：路由器ACL假设你有一个位于本地网络上的路由器，你需要保护其免受身份验证失败的攻击。

为了实现这一点，你可以使用ACL来控制每个进入该路由器的IP数据包。

为了创建ACL，你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表（standard IP extended access list）。

有了这个列表，你可以控制进入该路由器的每个数据包，以便仅允许经过授权的用户通过访问。

以下是创建标准IP扩展访问列表的示例命令：access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器，同时拒绝来自其他网络或单个IP地址的流量。

实例2：防火墙ACL假设你拥有一个防火墙来保护公共网络的安全，你需要实现对特定IP地址和端口的访问控制。

为了实现这个目标，你可以使用ACL来过滤掉所有未经授权的访问请求。

你需要创建一个标准ACE （Access Control Entry）列表，该列表包含允许和拒绝访问的IP地址、端口等信息。

以下是创建标准ACE列表的示例命令：access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问，同时拒绝所有其他来源的80端口访问请求。

简述ACL的作用及应用ACL全称为Access Control List（访问控制列表），是一种用于控制网络设备的访问权限的技术。

ACL常常用于路由器、防火墙和其他网络设备上，通过配置ACL可以对网络流量进行过滤和控制，从而实现对网络资源的保护和管理。

ACL的作用主要包括以下几个方面：1. 控制网络访问权限：ACL可以根据预先设置的规则对网络流量进行过滤，从而限制特定的用户或主机对网络资源的访问。

比如可以设置ACL规则禁止某些特定的IP地址访问内部网络，或者限制某些用户只能访问特定的网络服务。

2. 提高网络安全性：通过ACL可以控制网络中的数据流动，从而减少网络攻击和恶意行为带来的风险。

ACL可以在网络边界处对流量进行过滤，防止未经授权的用户或主机进入内部网络，同时也可以限制内部网络用户对外部网络资源的访问，避免泄露敏感信息。

3. 优化网络性能：ACL可以对网络流量进行控制和限制，从而避免网络拥堵和带宽浪费的问题。

通过ACL可以限制某些不必要的流量进入网络，或者优化网络流量的分发，从而提高网络的整体性能和稳定性。

4. 达成合规要求：部分行业（如金融、医疗等）需要严格遵守相关的合规要求，ACL可以帮助网络管理员实施相关的网络访问控制策略，保证网络安全和合规性。

在实际应用中，ACL主要用于网络设备的配置和管理，常见的应用场景包括：1. 防火墙配置：防火墙是网络安全的重要组成部分，ACL可以用于配置防火墙的访问控制策略，限制网络上的数据流动。

例如，可以通过ACL阻止恶意流量的进入，或者限制内部网络用户对外部网络资源的访问。

2. 路由器配置：路由器是网络中的重要设备，ACL可以用于配置路由器的访问控制策略，限制特定的IP地址或网络对路由器的访问权限。

这样可以提高网络的安全性和稳定性，避免未经授权的访问对网络造成影响。

3. 交换机配置：ACL也可以用于配置交换机的访问控制策略，限制网络中不同子网之间的访问权限。

ACL技术原理浅析及实例ACL（Access Control List）即访问控制列表，是一种网络安全规则，用于控制网络设备对网络数据的流动进行过滤和管理。

ACL技术原理以及实例如下。

一、ACL技术原理具体来说，ACL技术可以分为两种类型，即基于包过滤的ACL和基于上下文的ACL。

1.基于包过滤的ACL基于包过滤的ACL是最常见的ACL技术应用之一，也是最简单的一种。

它基于网络数据的源地址和目的地址、传输协议和端口号来决定是否允许数据包通过。

ACL规则通常包括两个部分，即匹配条件和操作方式。

匹配条件指定了要过滤的网络数据包所需满足的条件，操作方式则定义了匹配条件满足时采取的操作，如允许、阻止等。

2.基于上下文的ACL基于上下文的ACL技术相比于基于包过滤的ACL技术更为复杂。

它不仅考虑了数据包的源地址、目的地址、传输协议和端口号，还会根据网络上下文的情况作出决策。

上下文是指网络设备所处的环境和状态，如时间、用户身份、目标地址类型等。

基于上下文的ACL会根据这些上下文信息进行访问控制决策，从而实现更精细化的网络访问控制。

例如，根据时间段只允许特定用户访问一些特定网站。

二、ACL技术实例下面以两个具体的ACL技术实例来说明ACL技术的应用。

1.企业内部网络的访问控制企业内部的网络环境通常非常复杂，包含了大量的网络设备和用户。

为了保证内部网络的安全性，可以利用ACL技术设置访问控制策略。

例如，在一个企业内部网络中，只允许特定的IP地址范围的用户访问内部的数据库服务器。

管理员可以通过配置ACL规则，限制只有符合条件的用户才能访问数据库服务器，其他用户则被阻止访问。

2.公共无线网络的访问控制在公共场所提供无线网络服务时，为了防止未授权的用户访问网络设备，可以在无线接入点上设置ACL规则。

例如，在一个咖啡店提供的无线网络中，只允许购买咖啡的顾客访问无线网络，其他未购买咖啡的用户则无法连接无线网络。

管理员可以通过ACL技术设置访问控制规则，根据用户的MAC地址进行过滤，只允许被授权的MAC地址连接无线网络。

基于自反ACL和时间ACL的应用分析与网络设计【摘要】文章主要介绍了自反ACL 与基于时间ACL 的概念及基本策略的实施，然后在边界路由器上通过两者的联合应用来设计保护企业内部网络的安全，实现任何发自内部网络的合法数据流能正常访问Internet，而外网（非信任网络）的数据流只能到达内网中对外发布的web 服务器。

同时在保证了服务器和内部网络数据安全性后，对内部员工上网进行控制，要求在上班时间禁止内部员工使用QQ 及MSN。

通过在路由器上实施策略基本上可以满足小型企业网络安全需求。

【关键词】自反ACL；基于时间ACL；非信任网络；安全（一）网络需求分析随着互联网的不断扩大，网络面临的威胁也越来越多。

网络安全问题成为网络管理人员最为头疼的问题，这就是为了业务的发展，必须允许对网络资源的访问，同时又必须确保内部网络数据和资源的尽可能安全。

网络安全采用的技术很多，而通过访问控制列表可以对数据进行过滤，是实现基本的网络安全手段之一，ACL 可以通过对网络数据流量的控制，过滤掉有害的数据包，从而达到执行安全策略的目的。

而自反ACL 则更具有配置灵活、精确控制的特点，使得其成为实现防火墙的重要手段。

自反访问列表基于上层会话信息过滤数据包，它允许起源于内网（受保护网络）的数据流通过路由器，外网（非信任网络）响应起源于内网的会话的数据流也可以通过路由器，但禁止起源于外网的数据通过路由器进入内网，通过设置基本上达到了防火墙的基本功能。

在保证企业内部网络安全同时，企业可能会为了提高工作效率，禁止员工在上班时间如9：00-12：00 和13:00-18:00这两个时间段内使用QQ 和MSN 等，但可以通过网络来查询相关资料，而在规定的时间段外是可以使用QQ 和MSN 等工具的，此时就要求我们的网络管理员通过设置策略来实现公司的要求，即凡是从内部网络发起且在规定的时间段内到达QQ 和MSN 服务的数据流都被拒绝掉，而其他的数据流则能正常通过，这样就达到智能去管理网络，减轻网络管理员的工作量。

《高级计算机网络》复习题第一部分1.就你的理解，解释什么是计算机网络？计算网络的发展前景如何？2.IETF的文档通常以RFC形式出现，什么是RFC？3.什么是TCP/IP参考模型，请描述各层的功能。

4.什么是OSI 7层参考模型，请描述各层的功能。

5.试比较TCP/IP参考模型和OSI参考模型。

6.什么是封装和解封装？7.什么是协议数据单元PDU，在每层的特定名称是什么？8.什么是对等通信？9.请描述两种你熟悉的常用网络拓扑（图），并解释它们的特点（有点和缺点）。

10.熟悉带宽、传输的数据量和传输时间之间的关系。

（讲义上的例题）。

11.掌握带宽、吞吐量的单位，以及单位间的换算。

12.掌握网络的分类（按照规模/传输距离来分）。

第二部分1.物理层的主要功能是什么？2.列举2种常用的网络传输介质（光纤和UTP），分别介绍他们各自的优缺点。

3.掌握UTP线缆的分类。

4.物理层的主要设备是什么？他们的主要功能是什么？5.为什么不能大量使用物理层的设备？6.什么是分组交换和电路交换，比较二者的异同。

7.数据链路层的主要功能是什么？8.了解幀的格式，及格字段的含义。

9.数据链路层的主要设备有哪些（网桥和交换机），解释网桥或交换机的工作原理。

10.掌握交换机转发数据的3种交换模式，各自的优缺点。

11.如何选择网卡？（网络接口卡NIC）12.什么是VLAN？为什么需要VLAN？13.掌握VLAN相关的基本配置。

14.掌握VLANL间的路由方法。

15.能够根据用户的需求，设计并配置VLAN。

16.了解VTP协议，在一个VTP域交换机工作的三种模式。

第三部分1.掌握以太网的命名方式。

2.以太网的逻辑拓扑和物理拓扑分别是什么？3.掌握以太幀的格式，每个字段的含义。

4.简述半双工以太网的介质访问控制技术（CSMA/CD，先听后发，边发边听）。

5.网络层的主要功能是什么？6.什么是寻址？什么是IP寻址？什么是MAC寻址？试比较两种寻址方式。

acl的运用ACL的运用ACL，即访问控制列表（Access Control List），是一种用于限制和管理网络资源访问权限的技术手段。

它可以通过定义规则来控制用户或系统对网络资源的访问，从而提供网络安全性和管理的能力。

在本文中，我们将探讨ACL的运用，并分析其在网络安全中的重要性和实际应用。

ACL的运用可以提供网络的安全性。

通过ACL，网络管理员可以限制特定用户或系统对敏感数据、重要文件或关键系统的访问权限。

例如，管理员可以为公司的财务部门设置ACL，只允许授权人员访问财务数据库，以保护公司的财务数据不被未经授权的人员访问或篡改。

同时，管理员还可以根据用户的身份或权限级别，为不同的用户组设置不同的ACL规则，以确保每个用户组只能访问其需要的资源，从而降低潜在的风险和威胁。

ACL的运用可以帮助网络管理员进行网络资源管理。

通过ACL，管理员可以控制用户对网络资源的使用情况，设置限制和约束条件。

例如，管理员可以为某个部门设置ACL规则，限制其对互联网的访问，从而提高员工的工作效率和生产力。

此外，管理员还可以根据网络流量情况，设置ACL规则以限制特定IP地址或特定协议的使用，从而平衡网络负载和带宽利用率，提高整体网络性能。

ACL的运用还可以帮助网络管理员进行安全审计和日志记录。

通过ACL，管理员可以记录用户对网络资源的访问情况，包括访问时间、访问行为和访问结果等信息。

这些日志记录可以用于安全审计和故障排除，以便管理员能够追踪和分析网络安全事件和问题。

同时，日志记录还可以用于法律证据和合规要求，以保护网络资源的合法性和隐私性。

在实际应用中，ACL可以应用于各种网络设备和系统，如路由器、交换机、防火墙等。

不同的设备和系统有不同的ACL实现方式和语法规则，但其核心思想和功能是相似的。

例如，路由器上的ACL可以通过设置源IP地址、目标IP地址、协议类型、端口号等条件来限制数据包的流动。

而防火墙上的ACL可以通过设置源IP地址、目标IP地址、协议类型、端口号、应用程序等条件来限制网络流量的传输。

基于ACL的访问控制及安全策略的设计实验报告实验报告：基于ACL的访问控制及安全策略的设计摘要：本实验是基于ACL的访问控制及安全策略的设计。

通过使用ACL （Access Control List）来控制网络设备的访问权限，实现网络安全的管理和控制。

在实验中，我们使用了CISCO路由器，并使用了基于IP地址和端口号的ACL规则来限制对路由器的访问。

通过实验，我们验证了ACL的有效性，实现了对网络设备的访问控制。

关键词：ACL、访问控制、安全策略、IP地址、端口号一、引言访问控制是计算机网络安全管理中的一个重要方面。

由于网络设备的广泛使用和互联互通，保护网络设备的安全性变得尤为重要。

ACL是一种常见的网络安全技术，它通过配置规则来限制网络设备的访问权限。

本实验旨在通过设计ACL规则来实现对网络设备的访问控制，确保网络的安全性。

二、实验步骤1.实验环境准备：使用CISCO路由器作为实验设备，并设置IP地址和子网掩码。

2.创建ACL规则：通过命令行界面或图形化界面，创建ACL规则，限制对路由器的访问。

根据需要，可以配置基于IP地址或端口号的ACL规则。

3. 测试ACL规则：使用不同的设备进行访问测试，验证ACL规则是否生效。

测试可以包括通过Telnet、SSH等方式进行远程访问和尝试非法访问等。

4.优化ACL规则：根据测试结果，对ACL规则进行优化和调整，确保网络设备的访问控制更加精确和有效。

三、实验结果与分析通过ACL规则的设置，在实验中我们成功限制了对路由器的访问。

对于合法访问用户，可以通过指定的方式进行远程访问，实现对路由器的管理和配置。

而对于非法访问用户，无法通过规定的方式对路由器进行访问，有效提高了网络设备的安全性。

四、安全策略的优化在实验过程中，我们发现了一些需要优化的地方。

首先，ACL规则需要经过周期性的验证和更新，以确保其有效性，并及时响应网络安全威胁。

其次，ACL规则的设置需要考虑网络设备的实际需求，以避免误封或漏封。

1.ACL工作一、实验目的：通过本实验可以掌握1、ACL工作方式和工作过程2、定义标准ACL；3、应用标准ACL；4、“access-class”命令应用；5、定义命名标准ACL。

二、实验环境3台WINDOWS环境的PC机，锐捷路由器3台，直连跳线3根。

三、实验内容1、根据实验拓扑图3-1-1来配置路由器R1、R2、R3、R4，配置命令如以下各图所示;图3-1-1实验拓扑图(1)路由器R1配置，如图3-1-2所示：图3-1-2路由器R1配置(2) 路由器R2配置，如图3-1-3所示：图3-1-3路由器R2配置信息(2)路由器R3配置，如图3-1-4所示：图3-1-4路由器R3配置信息在配置完3个路由器后打入命令show int 来查看端口是否已经配置完毕，如图3-1-6和图3-1-7、图3-1-8所示：图3-1-6 R1端口信息图3-1-7 R2端口信息图3-1-8R3端口信息2、打入show ip access-lists来查看所定义的IP访问控制列表，如图3-2-1，图3-2-2：图3-2-1 R2 show access-lists图3-2-2 R3 show access-lists3、进行ping与telnet的测试，由于我们是将ACL做在R3上，所以PC2只能ping到路由器R2的有端口为止，无法ping到R3和服务器，如图3-3-1，图3-3-2，图3-3-3：图3-3-1 telnet测试图3-3-2 PC2 ping 路由器R2右端口图3-3-3 PC2 ping路由器R3下端口四、实验心得与小结五、指导教师评议成绩评定：指导教师签名：试验三：基于时间ACL一、试验目的1、定义time-range；2、配置基于时间ACL；3、基于时间ACL的调试。

二、实验环境3台WINDOWS环境的PC机，锐捷路由器3台，直连跳线3根。

三、实验内容1、实验拓扑图与前2个实验的相同，如图3-1-1：图3-1-1 实验拓扑图2、因为时间关系，该实验最后做完时已经得出结果，但未截图，所以只能作简单的文字介绍，实验步骤如下：本实验允许主机PC1在周一到周五的每天早上8点到下午17点访问路由器R3的Telnet服务。

ACL技术原理浅析及实例也可以按照网段进行大范围的访问控制管理。

个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分。

编号范围是从1到99的访问控制列表是标准IP访问控制列表。

扩展配置，ACL技术原理浅析及实例。

关键词：IP，访问控制，标准，扩展配置一、引言：ACL是一种基于包过滤的流控制技术，在路由器中被广泛采用，它可以有效的在三层上控制网络用户对网络资源的访问，既可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理。

通过实施ACL，可以有效的部署企业网络出网策略，也可以用来控制对局域网内部资源的访问能力，保障资源安全性，但会增加增加路由器开销，也会增加管理的复杂度和难度，是否采用ACL技术，是管理效益与网络安全之间的一个权衡。

初期仅在路由器上支持ACL，近些年来已经扩展到三层交换机，部分二层交换机如2950之类也开始提供ACL的支持。

二、概述：1．ACL工作原理：ACL：Acess Control List，即访问控制列表。

这张表中包含了匹配关系、条件和查询语句，ACL表只是一个框架结构，其目的是为了对某种访问进行控制，使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

(注意：过滤的依据仅仅只是第三层和第四层包头中的部分信息，如无法识别到具体的人，无法识别到应用内部的权限级别等。

论文写作，扩展配置。

因此，要和系统级及应用级的访问权限控制结合使用)ACL中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝。

ACL主要用于对入站数据、出站数据、被路由器中继的数据进行控制。

2．ACL工作过程：(1) 无论路由器上有没有ACL，接到数据包后，当数据进入某个入站口时，路由器首先对其进行检查，看其是否可路由，如果不可路由那么就丢弃，否则通过查路由选择表发现该路由的详细信息及对应的出接口；(2) 假设可路由，则找出要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL，没有，则直接从该口送出。

实验名称:基于时间ACL实验设备：路由器3700三台、交换机一台、PC机（验证配置）(模拟器GNS3)实验拓补：基本配置Router>enableRouter#configure terminalRouter(config)#hostname R1R1(config)#interface Serial0/0R1(config-if)#ip address 192.168.100.10 255.255.255.252R1(config-if)#no shutdownR1(config)#interface Serial0/1R1(config-if)#ip address 192.168.100.2 255.255.255.252R1(config-if)#no shutdownR1(config)#interface fastEthernet 0/1R1(config-if)#no ip addressR1(config-if)#no shutdownR1(config)#interface fastEthernet 0/1.1R1(config-subif)#encapsulation dot1Q 1R1(config-subif)#ip address 192.168.1.254 255.255.255.0R1(config-subif)#no shutdownR1(config)#interface fastEthernet 0/1.2R1(config-subif)#encapsulation dot1Q 10R1(config-subif)#ip address 192.168.10.254 255.255.255.0R1(config-subif)#no shutdownR1(config)#interface fastEthernet 0/1.3R1(config-subif)#encapsulation dot1Q 20R1(config-subif)#ip address 192.168.20.254 255.255.255.0R1(config-subif)#no shutdownR1(config)#router ripR1(config-router)#version 2R1(config-router)#network 192.168.0.0R1(config-router)#network 192.168.100.0R1(config-router)#default-information originate/**配置动态默认路由R2(config)#interface serial 0/0R2(config-if)#ip address 192.168.100.6 255.255.255.252R2(config-if)#no shutdownR2(config)#interface serial 0/1R2(config-if)#ip address 192.168.100.9 255.255.255.252R2(config-if)#no shutdownR2(config)#interface fastEthernet 0/0R2(config-if)#ip address 192.168.2.1 255.255.255.0R2(config-if)#no shutdownR2(config)#router ripR2(config-router)#version 2R2(config-router)#network 192.168.100.0R2(config-router)#network 192.168.2.0R3(config)#interface serial 0/0R3(config-if)#ip address 192.168.100.5 255.255.255.252R3(config-if)#no shutdownR3(config)#interface serial 0/1R3(config-if)#ip address 192.168.100.1 255.255.255.252R3(config-if)#no shutdownR3(config)#interface fastEthernet 0/0R3(config-if)#ip address 200.1.1.1 255.255.255.0R3(config-if)#no shutdownR3(config)#router ripR3(config-router)#version 2R3(config-router)#network 192.168.100.0R3(config-router)#network 200.1.1.0基于时间ACL配置例：某公司希望在出口路由器上使用基于时间的ACL 实现：周一至周五的上午8：00 到12：00 ,下午14：00 到18：00 ,只允许用户收发邮件，非工作时间允许所有的访问.R3(config)#time-range working /**定义时间范围的名字，这里名字为workingR3(config-time-range)#periodic weekdays 8:00 to 12:00 /**定义时间范围R3(config-time-range)#periodic weekdays 13:00 to 18:00/**两条加起来就是周一到周五从早上8:00 到下午16:00 ，出去中午两小时休息时间。

技术与交流ACL 技术在中小型网络安全管理中的应用分析蒋君华（宜兴高等职业技术学校，江苏无锡214200）摘要：计算机软硬件技术的进步推动了网络技术的迅速发展，针对互联网的攻击手段也越来越多。

为了保障网络安全，网管在开放足够的网络权限的同时，又必须通过限制用户的权限来确保数据和资源的安全。

针对这样的现状，虽然网管可以采用的安全技术手段很多，但由于中小型网络各方面条件的限制，我们只能转换思路，采用访问控制列表（ACL ）来替代昂贵的硬件防火墙实现对网络数据流的管控、过滤，另外通过ACL 的简单配置还可实现对某些常见病毒进行过滤，最终达成基础、低成本的网络安全目标。

关键词：网络安全；ACL；路由器；交换机；病毒过滤作者简介：蒋君华（1972-），女，高级讲师，本科，研究方向：计算机科学技术。

最近几年，随着计算机软硬件技术的突飞猛进，网络技术也有了迅速发展，而针对互联网的攻击手段也就越来越多。

如何保障网络安全也就成为严重困扰中小型网络的网络管理员（网管）的问题之一。

由于巩固和拓展业务的需要，网管必须开放足够的权限，允许用户对网络资源的访问；另外，网管又必须通过严格限制用户的权限来确保数据和资源的安全。

面对层出不穷各种类别的网络攻击，虽然网管可以采用的网络安全技术很多，但由于条件的限制，中小型网络可以使用的资金有限，我们可以转换思路，考虑采用访问控制列表（ACL ）来替代昂贵的硬件防火墙实现对网络数据流的管控、过滤，最终实现基本的、成本可控的网络安全目标。

一、ACL 概述（一）ACL 技术访问控制列表简称ACL （Access Control Lists ），是一种基于包过滤机制的网络安全技术，它是根据预先设定的条件对通过接口的数据包进行过滤，判断是否允许其通过。

ACL 可以广泛应用在路由器或三层交换机上，通过读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，结合预设的条件允许或拒绝特定的数据包进出网络，实现对网络访问的控制，从而有效保障网络的安全运行。

时间访问控制列表用途：它可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。

这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。

首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

如公司想要限制员工只可在某个时间段访问共享服务器或者在某个时间段、某天不想让员工上网等等，都可以用时间ACL加以限制，在实际应用中比较灵活。

在配置时间ACL前，必须为路由器配置时间或者已经事先配好。

配置时间语法：#clock set hh:mm:ss <1-31> MONTH <1992-2035>查看命令：#show clock时间ACL语法：【1】 config)#time-range [time-range-name]【2】 config-time-range)#absolute start hh:mm <1-31> MONTH <1993-2035> end hh:mm <1-31> MONTH <1993-2035>【2】或者config-time-range)#periodic [星期几（英文）] hh:mm to hh:mm 【3】 config)#access-list <as号> [deny|permit] ip 源ip-address wildcard-address 目标ip-address wildcard-address time-range[time-range-name]【4】 config)#access-list <as号> permit any any【5】 config)#interface fa0/0【6】 config-if)#ip access-group <as号> [in|out]语法的一些参数解释：time-range：用来定义时间范围;time-range-name：时间范围名称，用来标识时间范围，以便在后面的访问列表中引用;absolute：该命令用来指定绝对时间范围。

基于ACL的边界路由策略的应用研究摘要:通过某科研所对边界路由策略需求的分析,针对ACL的基本功能实现和其在禁ping,封端口,封ip段等边界路由中使用的安全策略进行了分析与研究。

关键词:ACL;路由策略本文在对acl功能和原理研究的基础上,对其在某科研所的边界路由器上的策略进行分析与研究。

1ACLACL(AccessControlLis,t ACL)又名访问控制列表。

ACL是路由器和接口的指令列表,用来控制端口进出的数据包。

ACL可以过滤网络中的数据流量,是控制访问的一种网络技术手段。

它可用于指定信息点之间进行通信,内部外部网络之间进行通信,可通过安全策略来阻止非授权用户的访问,达到对访问进行控制的目的,以保证内部网洛的安全性。

以H3C设备为例,ACL基本命令如下:①创建基本ACL并进入基本ACL视图aclnumberacl-number[nameacl-name][match-order{auto|config} ]②定义规则,可创建多条规则rule[rule-id] {deny|permit} [fragment | logging|source {sour-addr sour-wildcard|any} |time-rangetime-name | vpn-instancevpn-instance-name]2某科研所基本情况为不透漏某科研所的真实ip和便于进行本工程的科学研究,对实际问题进行了简化和虚拟。

这里假定科研所使用的外部ip地址为: 202. 1. 1. 1,内部架设的服务器ip地址为: 192. 168. 1. 1,其他科研所使用的外ip地址为: 202. 1. 1. 2,合作企业的外ip地址为202. 1. 1. 3。

把实际问题工程化为:可以允许192. 168. 1. 0网段的ip数据包访问外部网络; 192. 168. 1. 1与202. 1. 1.1内外网地址进行转换,并允许202. 1. 1. 2和202. 1. 1. 3访问内部服务器192. 168. 1. 1。

基于时间的ACL的配置【实验目的】掌握时间范围的建立掌握基于时间的访问控制列表ACL命令的使用掌握以命名为基础的访问控制列表的建立掌握将基于命名的访问控制列表关联到端口的命令的使用【实验设备】路由器二台（模拟器中选择Generic路由器，有串行口）PC机二台交换机一台交叉线一条DTE或DCE连线二条配置线二条直通线三条【实验拓扑】【实验要求】某软件公司的服务器，公司规定只能在正常工作时间登录（周一到周五8：00~17：00），其他时间拒绝登录，以确保公司的数据安全【实验步骤】一．按照图示连接设备：路由器和路由器之间用DTE或DCE线连接，交换机与电脑、路由器之间用直通线，路由器与服务器之间用交叉线连接二．设置路由器的端口的IP地址及时钟频率1．路由器RA的配置：Router>enable （进入特权模式）Router#configure terminal （进入全局模式）Router(config)#hostname RA （给路由器命名为RA）RA (config)#interface serial 2/0 （进入2号串口）RA (config-if)#ip address 10.10.2.1 255.255.255.0 （设置2号串口IP地址）RA (config-if)#clock rate 128000 （设置时钟频率）RA (config-if)#no shutdown （激活端口）RA (config-if)#exit （退回上一级）RA (config)#interface fastethernet 0/0 （进入0号接口）RA (config-if)#ip address 10.10.1.1 255.255.255.0 （设置0号口IP地址）RA (config-if)#no shutdown （激活端口）RA (config-if)#exit （退回上一级）2．路由器RB的配置：Router>enable （进入特权模式）Router#configure terminal （进入全局模式）Router (config)#hostname RB （给路由器命名为RB）RB (config)#interface serial 2/0 （进入2号串口）RB (config-if)#ip address 10.10.2.2 255.255.255.0 （设置2号串口IP地址）RB (config-if)#no shutdown （激活端口）RB (config-if)#exit （退回上一级）三．启动rip协议，通告相邻网络号：1．路由器RA的配置：RA(config)#router rip （启动rip协议）RA(config)#version 2 （使用ripV2协议）RA(config-router)#network 10.10.1.0 （通告10.10.1.0连到本路由器上）RA(config-router)#end （返回特权模式）2．路由器RB的配置：RB(config)#route rip （启动rip协议）RB(config)#version 2 （使用ripV2协议）RB(config-router)#network 10.10.3.0 （通告10.10.2.0连到本路由器上）RB(config-router)#end （返回特权模式）四．设置PC1 、PC2和服务器的IP地址及网关地址：PC1：10.10.1.10(IP) 255.255.255.0 (掩码) 10.10.1.1（网关）PC2：10.10.1.11(IP）255.255.255.0 (掩码) 10.10.1.1（网关）服务器：10.10.3.10(IP) 255.255.255.0(掩码) 10.10.3.1（网关）五．查看每台路由器的路由信息并测试连通性：分别在每台路由器上输入下列命令：1．RA#show ip route （查看路由表信息）*此时RA路由表有2条C路由信息，1条R路由，RB上有2条C路由信息，1条R路由信息2．分别在PC1上和PC2上测试是否跟服务器相互连通：PC1：ping 10.10.3.10PC2：ping 10.10.3.10*结果应该是所有的都连通3．分别在PC1和PC2上测试登录服务器的Web网页，看是否能登录上*结果应该是两个都能登录六．在RA上设置访问控制列表：RA(config)#time-range time1 （创建时间范围）RA(config-time-range)#periodic weekend 0:00 to 23:59 （限定时间为每周一到周五）RA(config-time-range)#exit （退回上一级）RA(config)#ip access-list extended lo-time （以命名方式定义访问控制列表）RA(config-ext-nacl)#deny tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range time1（设置允许10.10.1.0网段在time1规定的时间范围内登录服务器）RA(config-ext-nacl)#permit ip any any （允许在其他时间的任何访问）RA(config-ext-nacl)#exit （退回上一级）RA(config)#interface f0/0 （进入0号接口）RA(config-if)#ip access-group lo-time in（设定访问控制列表lo-time应用在RA的f0/0入口上）RA(config-if)#exit （退回上一级）七．结果测试：（1）设置路由器的时间跟系统当前工作时间一致：RA#clock set 9:12:00 january 28 2014（时间为2014年2月28日上午9点12分，星期五，属于工作时间）分别在PC1上和PC2上测试是否跟服务器相互连通：PC1：ping 10.10.3.10PC2：ping 10.10.3.10*结果应该是都能通（2）设置路由器的时间跟系统当前工作时间一致：RA#clock set 9:12:00 March 1 2014（时间为2014年3月1日上午9点12分，星期六，属于非工作时间）分别在PC1上和PC2上测试是否跟服务器相互连通：PC1：ping 10.10.3.10PC2：ping 10.10.3.10*结果应该是都不能通附：基于时间的访问控制列表的格式：1．RA(config)#time-range 时间范围名定义一个时间范围，名字区分大小写，且不能以数字打头2．RA(config-time-range)#absolute|periodic 时间（1）absolute 严格规定时间格式，每个时间范围内只能有一条严格时间，例： RA(config-time-range)#absolute start 08:00 1 May 2010 end 08:00 1 Dec 2010 从2010年5月1号早上八点至12月8点这段时间（2）periodic 设置周期时间，可设置多条，例：RA(config-time-range)#periodic daily 08:00 to 17:00每天早上8点至下午5点RA(config-time-range)#periodic Monday 08:00 to 17:00每周一早上8点至下午5点RA(config-time-range)#periodic weekdays 08:00 to 17:00周一至周五早上8点至下午5点，这句等同于下面这句RA(config-time-range)#periodic Monday Friday 08:00 to 17:00跟上面一句意义一样同理weekends= saturday and Sunday3．定义一个访问控制列表（是标准的、扩展的、以命名为基础的都可以，后面必须加上规定的时间范围）(1)access-list 1 permit any time-range 时间范围(2)access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range 时间范围(3)ip access-list extended 访问控制列表名permit tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range 时间范围4．RA(config)#interface f0/0RA(config-if)ip access-group 列表名|号in|out应用列表到某接口的入口或出口上。