网络访问控制技术

应用访问控制列表ACL实现网络单向访问

在企业网络中经常遇到这样的问题：在网络一个重要的部门的主机或服务器不允许其他部门访问，而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表ACL实现单方向访问来实现以上单向访问功能。

所谓单向访问，就是一部分网络主机可以访问另一部分网络主机，而反过来则不允许访问。对于单向访问不能简单的通过访问控制列表ACL中的deny语句来实现，deny语句可以实现A、B主机间访问数据流的彻底阻断，但是无法实现单向访问。因为如果deny掉A主机到B主机的访问，那么B主机也就不能访问A主机了（因为B主机到A主机的访问数据虽然能到达A主机，但是A主机的回复数据流被ACL访问控制列表规则阻断了）。 那么怎么实现单向访问呢？答案是利用permit语句。方法就是利用permit语句让B主机访问A主机的同时允许A主机的响应数据流通过（要在permit语句中使用established参数），但是不允许由A主机发起的到B主机的访问通过，这样就可以实现B主机向A主机的单向访问。

扩展的单向访问控制列表ACL的基本配置命令如下： Router(config)#access-list access-list-number

应用访问控制列表ACL实现网络单向访问

在企业网络中经常遇到这样的问题：在网络一个重要的部门的主机或服务器不允许其他部门访问，而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表ACL实现单方向访问来实现以上单向访问功能。

所谓单向访问，就是一部分网络主机可以访问另一部分网络主机，而反过来则不允许访问。对于单向访问不能简单的通过访问控制列表ACL中的deny语句来实现，deny语句可以实现A、B主机间访问数据流的彻底阻断，但是无法实现单向访问。因为如果deny掉A主机到B主机的访问，那么B主机也就不能访问A主机了（因为B主机到A主机的访问数据虽然能到达A主机，但是A主机的回复数据流被ACL访问控制列表规则阻断了）。 那么怎么实现单向访问呢？答案是利用permit语句。方法就是利用permit语句让B主机访问A主机的同时允许A主机的响应数据流通过（要在permit语句中使用established参数），但是不允许由A主机发起的到B主机的访问通过，这样就可以实现B主机向A主机的单向访问。

扩展的单向访问控制列表ACL的基本配置命令如下： Router(config)#access-list access-list-number

信息科技部

网络访问控制程序

A版

2011年6月1日 发布 2011年6月1日 实施

目录

1 目的....................................................................................................................................... 3 2 范围....................................................................................................................................... 3 3 相关文件 ............................................................................................................................... 3 4 职责...................................................

第5章 身份认证与访问控制技术

第5章 身份认证与访问控制技术

教学目标

● 理解身份认证的概念及常用认证方式方法 ● 了解数字签名的概念、功能、原理和过程

● 掌握访问控制的概念、原理、类型、机制和策略 ● 理解安全审计的概念、类型、跟踪与实施 ● 了解访问列表与Telnet访问控制实验

5.1 身份认证技术概述

5.1.1 身份认证的概念

身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。 1. 身份认证的概念

认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。

2. 认证技术的类型

认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。从鉴别对象上，分为消息认证和用户身份认证两种。

（1）消息认证：用于保证信息的完整性和不可否认性。

（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。

从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，

5.1.2 常用的身份认证方式

1. 静

身份鉴别与访问控制技术综述

魏明欣，何长龙，李伟平

正元信息技术股份有限公司 长春130012)

1

2

3

(1.吉林省政府发展研究中心 长春130015 2.北京大学电子政务研究院 北京 100018 3.长春吉大

摘要：身份认证是网络安全的最基本元素，它们是用户登录网络时保证其使用和交易安全的首要因素。本文首先介绍了常用的身份鉴别和访问控制的基本概念，对身份鉴别和访问控制技术的机制、实现方法等及相关知识进行简要介绍，以期对初次接触这两个领域的读者有所帮助。

一、概述

身份鉴别与访问控制技术是信息安全理论与技术的一个重要方面。其原理，如图1所示。

用户在访问网络信息时，必须首先进行身份鉴别，只有通过身份鉴别的用户请求，才能被转发到访问监控服务，访问监控服务根据访问请求中的身份和资源信息和取得对应的授权策略和资源的访问控制策略，以决定用户能否访问该资源。

身份库由身份（用户）管理员管理，授权策略和资源的访问控制策略由安全管理员按照需要进行配置和管理。身份信息管理、授权策略和访问控制策略管理、用户在访问资源时所产生的身份鉴别信息、访问控制信息，以及入侵侦测系统实时或非实时地检测是否有入侵行为等系统运行期产生的安全审计信息均记录到安全审计系统，供审

介质访问控制技术与局域网

教学目标

通过本章的学习，让学生掌握局域网的基本概念以及扩展性知识。本章将介绍局域网的介质访问控制技术、局域网的体系结构与协议以及目前几乎覆盖全球以太网的相关知识，同时也将介绍虚拟局域网和高速局域网等当前新的网络技术。 教学内容

1、介质访问控制技术；

2、局域网的参考模型及协议； 3、以太网；

4、局域网连网及互联设备； ５、虚拟局域网； ６、高速局域网 教学的重点和难点

1、介质访问控制技术

2、IEEE802.3三种协议的比较

3、如何正确理解虚拟局域网以及其实现技术 学习指导

１、学生应该理解介质访问控制方式，掌握以太网的工作原理，如何发送数据、接收数据等

２、学生应该理解双绞线的通信规则和制作方式

3、掌握虚拟局域网的原理，并通过实验自己动手进行虚拟局域网的组建

4.1 介质访问控制技术

介质访问子层的中心论题是相互竞争的用户之间如何分配一个单独的广播信道

1、静态分配：只要一个用户得到了信道就不会和别的用户冲突。

(用户数据流量具有突发性和间歇性)

2、动态分配：称为多路访问或多点接入，指多个用户共用一条线路，而信道并非是在用户通信时固定分配给用户，这样的系统又称为竞争

标识是一种能够确保主体（用户、程序或进程）就是它所宣称的那个实体的方法。标识可以通过一些证明来确认，这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识，并且主体的行为被记录在案。

逻辑访问控制是用于标识、认证、授权和稽核的工具，它是执行对系统、程序、进程和信息的访问控制策略的软件组件。

一个人的身份需要在认证的过程中确定。认证通常包含有两步：输入公共信息（用户名、工作证号、账号或部门ID),然后输入私人信息（固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中，输入公共信息是一个标识的过程，而输入私人信息是一个认证的过程。

有三种认证的方式：他知道的内容，他持有的证明，他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。

强化认证（strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。

在安全领域，确定身份有三个关键因素：唯一性、非描述性和签发。

ID卡可认为是一种标识签发形式的安全因素。

身份管理包括用不同的产品以自动化方法标识、认证和授权用户，还包括用户账户管理、

标识是一种能够确保主体（用户、程序或进程）就是它所宣称的那个实体的方法。标识可以通过一些证明来确认，这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识，并且主体的行为被记录在案。

逻辑访问控制是用于标识、认证、授权和稽核的工具，它是执行对系统、程序、进程和信息的访问控制策略的软件组件。

一个人的身份需要在认证的过程中确定。认证通常包含有两步：输入公共信息（用户名、工作证号、账号或部门ID),然后输入私人信息（固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中，输入公共信息是一个标识的过程，而输入私人信息是一个认证的过程。

有三种认证的方式：他知道的内容，他持有的证明，他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。

强化认证（strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。

在安全领域，确定身份有三个关键因素：唯一性、非描述性和签发。

ID卡可认为是一种标识签发形式的安全因素。

身份管理包括用不同的产品以自动化方法标识、认证和授权用户，还包括用户账户管理、

ACL的应用

一、 概述

属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。 现在可以应用在：

1、 data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发

等操作（对象:数据包、数据帧）

2、 control plan 对路由条目的匹配，对路由条目执行策略（路由条目）

二、 理论以及命令

全局模式下：access-list <1-99> IP标准访问控制列表 <100-199>IP扩展访问控制列表

<200-299>协议类型代码访问控制列表 没有明确标准的应用的流量 <300-399>DECnet 访问控制列表

<700-799>48bit MAC地址访问控制列表

<1100-1199>扩展的48bit MAC地址访问控制列表 <1300-1999>IP标准访问控制列表 <2000-2699>IP扩展访问控制列表

这些包含了常见的IP的二层协议和三层协议

1、 标准

只能匹配协议中的一个地址（源地址） 命令

access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0） 掩码：/nn&x.x.x.x log/

例子 access-list 1 permit 1.1.1.1

访问控制列表必须在某种技术环节下调用，否则不存在

4.1 标准ACL 配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源 锐捷RGNOS CookBook 13

S5750(config-std-nacl)#exit ----退出标准ACL 配置模式 步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向 注释：

1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。 2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3.