论文部分内容阅读
【摘 要】集团内网用户通过外网用户代理访问互联网,给网络的管理和安全性能带来了越来越多的问题,本论文主要通过更改ACL访问控制列表来限制内网用户通过代理访问互联网。
【关键词】Acl访问控制列表 代理服务器
晋煤集团办公网络建立于2007年,各个矿的主干路由器SR8808通过OSPF协议连接组网,接入层为H3C3600系列交换机,用户通过802.1x 协议认证,认证服务器放置在局机关中心机房,出于工作的需要分为外网用户和内网用户,外网用户可以访问互联网资源,内网用户被限定为只能访问集团内网,例如OA、邮箱、各应用系统等。
集团内网用户是限制其只能访问10.x.x.x的网段,限制用户访问互联网,我们做出了acl3100高级访问控制列表:
访问控制列表(ACL)是应用在交换机接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
H3C设备使用的ACL号码范围是从2000到5999,其余的号码范围暂时没有使用,其中,2000-2999号是基本ACL,3000-3999号是高级ACL,4000-4999号是二层ACL,5000-5999号是用户自定义ACL,基本ACL是根据源IP地址进行判断,高级ACL可根据源、目的地址和源、目的端口以及协议类型等特征进行判断,二层ACL故名思意就是根据源MAC地址和目的MAC地址来进行判断,用户自定义ACL 以数据包的头部为基准,指定从第几个字节开始进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理。
随着网络技术日新月异的发展,各种新的技术也随之出现,现在越来越多的代理软件可以让集团的内内网用户通过代理服务器而访问到外网资源,给网络的管理带来了很多的隐患。
例如,A用户为外网用户,B为内网用户,在A用户电脑上安装了ccproxy等代理软件,B用户可以通过A用户代理来访问互联网资源。
下面我们介绍一下什么是代理服务器:
代理服务器是网上提供转接功能的服务器,在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。代理服务器是介于客户端和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。
以本文为例:A用户就是充当了代理服务器的角色,B用户上网的所有信息都要通过A来完成,这样就给A电脑的内存和CPU增加了很大的负荷,而且一旦B用户访问的网站有病毒,A电脑也将受到感染。
代理服务器还有的其他一些危害:
一、对安全方面的影响。用户使用代理上网将隐藏其IP地址,如果有用户在各论坛或网站发布反动、不利于社会的和谐言论,通信公司将无法根据其IP地址查到信息发布者的地址。各种垃圾信息的增多,不仅对网络安全有重大影响,也会混淆网民的视听,对社会容易造成潜在的不安全因素。另外,内网用户的反病毒软件和防火墙一般都无法做到及时更新,在登陆外网时,又喜欢下载各种电影、游戏,在下载过程中就把各种病毒下载到本机上,病毒又通过网络攻击其他用户,对网络的安全造成很大隐患。
二、对正常工作的影响。各单位通常是根据不同部门的工作内容来分配内网和外网的,针对那些仅使用内网就能满足正常工作的部门,使用外网无非是为了满足娱乐的需要,比如浏览网页、看新闻、玩游戏等,在工作时间进行的这些娱乐活动,都将影响正常工作,降低工作效率,拖延完工时间。
三、经济将蒙受损失。根据集团公司的收费标准,办公外网每年将收取1200元的使用费,而办公内网的使用和维护都是完全免费的,如果内网用户都使用代理登陆外网,维护人员的工作量不仅会增大,而且集团公司在经济上将会蒙受损失。为了更好的对网络进行管理,禁止用户做代理上网,我们修改了ACL3100控制列表:
运行了新的ACL访问控制列表后,这样内网用户就不能访问其它任何一台主机(10.0.17.x网段除外),就限制了代理的发生,这样无论A用户是否做了代理服务器,B用户都无法访问到A用户,就可以成功的限制了代理的发生。
本文就限制内网用户使用代理上网展开了一些研究,通过更改ACL访问控制列表的方法成功控制了用户使用代理上网,保障了集团公司网络的安全、高效运行,为集团公司的信息化建设奠定了坚实的基础。
参考文献:
[1]胡宁,刘亚萍.基于ACL的网络安全管理的应用研究[J].计算机工程与科学,2006, (10): 42-74
[2]单家凌.ACL在聚合端口上应用研究[C].广州,2011.
【关键词】Acl访问控制列表 代理服务器
晋煤集团办公网络建立于2007年,各个矿的主干路由器SR8808通过OSPF协议连接组网,接入层为H3C3600系列交换机,用户通过802.1x 协议认证,认证服务器放置在局机关中心机房,出于工作的需要分为外网用户和内网用户,外网用户可以访问互联网资源,内网用户被限定为只能访问集团内网,例如OA、邮箱、各应用系统等。
集团内网用户是限制其只能访问10.x.x.x的网段,限制用户访问互联网,我们做出了acl3100高级访问控制列表:
访问控制列表(ACL)是应用在交换机接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
H3C设备使用的ACL号码范围是从2000到5999,其余的号码范围暂时没有使用,其中,2000-2999号是基本ACL,3000-3999号是高级ACL,4000-4999号是二层ACL,5000-5999号是用户自定义ACL,基本ACL是根据源IP地址进行判断,高级ACL可根据源、目的地址和源、目的端口以及协议类型等特征进行判断,二层ACL故名思意就是根据源MAC地址和目的MAC地址来进行判断,用户自定义ACL 以数据包的头部为基准,指定从第几个字节开始进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理。
随着网络技术日新月异的发展,各种新的技术也随之出现,现在越来越多的代理软件可以让集团的内内网用户通过代理服务器而访问到外网资源,给网络的管理带来了很多的隐患。
例如,A用户为外网用户,B为内网用户,在A用户电脑上安装了ccproxy等代理软件,B用户可以通过A用户代理来访问互联网资源。
下面我们介绍一下什么是代理服务器:
代理服务器是网上提供转接功能的服务器,在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。代理服务器是介于客户端和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。
以本文为例:A用户就是充当了代理服务器的角色,B用户上网的所有信息都要通过A来完成,这样就给A电脑的内存和CPU增加了很大的负荷,而且一旦B用户访问的网站有病毒,A电脑也将受到感染。
代理服务器还有的其他一些危害:
一、对安全方面的影响。用户使用代理上网将隐藏其IP地址,如果有用户在各论坛或网站发布反动、不利于社会的和谐言论,通信公司将无法根据其IP地址查到信息发布者的地址。各种垃圾信息的增多,不仅对网络安全有重大影响,也会混淆网民的视听,对社会容易造成潜在的不安全因素。另外,内网用户的反病毒软件和防火墙一般都无法做到及时更新,在登陆外网时,又喜欢下载各种电影、游戏,在下载过程中就把各种病毒下载到本机上,病毒又通过网络攻击其他用户,对网络的安全造成很大隐患。
二、对正常工作的影响。各单位通常是根据不同部门的工作内容来分配内网和外网的,针对那些仅使用内网就能满足正常工作的部门,使用外网无非是为了满足娱乐的需要,比如浏览网页、看新闻、玩游戏等,在工作时间进行的这些娱乐活动,都将影响正常工作,降低工作效率,拖延完工时间。
三、经济将蒙受损失。根据集团公司的收费标准,办公外网每年将收取1200元的使用费,而办公内网的使用和维护都是完全免费的,如果内网用户都使用代理登陆外网,维护人员的工作量不仅会增大,而且集团公司在经济上将会蒙受损失。为了更好的对网络进行管理,禁止用户做代理上网,我们修改了ACL3100控制列表:
运行了新的ACL访问控制列表后,这样内网用户就不能访问其它任何一台主机(10.0.17.x网段除外),就限制了代理的发生,这样无论A用户是否做了代理服务器,B用户都无法访问到A用户,就可以成功的限制了代理的发生。
本文就限制内网用户使用代理上网展开了一些研究,通过更改ACL访问控制列表的方法成功控制了用户使用代理上网,保障了集团公司网络的安全、高效运行,为集团公司的信息化建设奠定了坚实的基础。
参考文献:
[1]胡宁,刘亚萍.基于ACL的网络安全管理的应用研究[J].计算机工程与科学,2006, (10): 42-74
[2]单家凌.ACL在聚合端口上应用研究[C].广州,2011.