打印本文 关闭窗口 | |
利用好ACL来防止黑客进行远程入侵 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:35:06 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
为何要使用ACL 前段时间,一个小企业在节约成本的情况下,利用好访问控制列表,达到了我们所期望的效果。我们也知道ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器或三层交换机接口的数据包。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。需要和系统级及应用级的访问权限控制结合使用,才能达到预防黑客远程入侵。 也许有人会问我们如何正确地使用访问控制列表,才能保护好网络。设置访问列表首先要了解网络概况,要确定每台服务器是做什么?要详细了解每个客户端需要访问那些网络资源。我们可以指定固定的一个网络地址只能访问相关的服务器资源,其他的计算机要访问服务器资源,需要先登陆到网络中所指定的网络地址所在的设备中,然后,通过所指定网络地址来访问所需的资源。这就是我们常说的找一个相对安全的跳板,来实现网络相对安全。 配置ACL 在全局配置模式下定义访问列表,然后将其应用到接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理,它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配,则继续检测列表中的下一个语句。在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。在实现过程中应给每一条访问控制列表加上相应的编号。标准IP访问控制列表的编号为1至99,作用是阻止某一网络的所有通信流量,或允许某一网络的所有通信流量。两条语句为: 1、access-listaccess-list-number(1~99) 2、{denypermit}source[source-wildcard] 如果对于不符合访问控制列表(ACL)语句设定规则的数据包将容许通过,这样会造成了一个严重后果,那就是不符合ACL设定规则的数据包也将被三层交换机无条件转发而不是丢弃的处理,这样会造成了该过滤的数据包没有被过滤,网内安全岌岌可危。非法数据包绕过了网络管理员精心设置的防病毒安全屏障,从而轻而易举的侵入了用户的内网。下面我们可以举例来说明: 1、要阻止源主机为10.60.0.44的一台主机通过E0,而允许其他的通讯流量通过E0端口。 Router(config)#access-list1deny10.60.0.440.0.0.0 Router(config)#access-list1permitany Router(config)#interfaceethernet0 Router(config-if)#ipaccess-group1in 上面的语句主要说明:在全局配置模式下定义一条拒绝10.60.0.44主机通过的语句,通配符掩码可以使用0.0.0.0,或使用缺省值来表示一台主机,然后将其访问列表应用到接口中。 2、要阻止10.60.0.44主机Telnet流量,而允许Ping流量。 Router(config)#access-list102permiticmp10.60.0.440.0.0.0any Router(config)#access-list102denytcp10.60.0.440.0.0.0anyeq23 Router(config)#access-list102permitipanyany Router(config)#interfaceethernet0 Router(config-if)#ipaccess-group101in 因为Ping命令使用网络层的ICMP协议,所以让ICMP协议通过。而Telnet使用端口23,所以将端口号为23的数据包拒绝了,最终应用到某一接口,这样就可以达到目的。如果现在修改了计算机的IP地址,那么这条访问控制列表将对您不起作用,黑客就很容易能达到所需要的目的。如果需要网络地址变更的,一定要检查访问控制列表是否符合所需规则。一个小小的疏忽就将精心打造的防病毒体系完全突破,所以对于网络管理员来说每次设置后都应该仔细测试下网络状况,确保所实施的手段得以生效。 在网络安全体系中,最重要的安全要素—访问控制的控制点在网络通信通道的出入口上。内部网络通过路由器的广域网接口与Internet相连,再通过此路由器的局域网接口接入内部网络,而正确地放置ACL访问控制列表将起到防火墙的作用。为了满足与Internet间的访问控制,以及满足内部网络不同安全属性网络间的访问控制要求,让网络通信均通过它,可以控制网络通信及网络应用的访问权限,来达到防止黑客远程入侵目的。 |
|
打印本文 关闭窗口 |