南京理工大學(xué)電光學(xué)院 王 尊

訪問(wèn)控制列表在高校校園網(wǎng)絡(luò)安全中的應(yīng)用

南京理工大學(xué)電光學(xué)院 王 尊

訪問(wèn)控制列表作為網(wǎng)絡(luò)防御外來(lái)攻擊的重要控制策略，對(duì)整個(gè)網(wǎng)絡(luò)的安全防護(hù)起著至關(guān)重要的作用。在高校校園網(wǎng)的管理過(guò)程中，人們可以結(jié)合高校教學(xué)工作的自身特點(diǎn)，根據(jù)不同功能場(chǎng)所對(duì)網(wǎng)絡(luò)及數(shù)據(jù)安全的不同要求，靈活運(yùn)用訪問(wèn)控制列表的相關(guān)技術(shù)來(lái)構(gòu)建相應(yīng)的網(wǎng)絡(luò)安全策略。

訪問(wèn)控制列表；校園網(wǎng)；網(wǎng)絡(luò)安全

網(wǎng)絡(luò)的迅猛發(fā)展伴之而來(lái)的是網(wǎng)絡(luò)的安全問(wèn)題，任何使用網(wǎng)絡(luò)的單位、個(gè)人都需要時(shí)刻注意自己的網(wǎng)絡(luò)安全問(wèn)題，高校也不例外。作為網(wǎng)絡(luò)傳輸過(guò)程中的常見設(shè)備——路由器，不少人和單位僅僅認(rèn)識(shí)和利用了它的一個(gè)基本功能——路由，實(shí)際上路由器作為信息數(shù)據(jù)流出入的必經(jīng)之路，還可以用訪問(wèn)控制列表來(lái)作為防御網(wǎng)絡(luò)外來(lái)攻擊的一種重要控制策略。

1.訪問(wèn)控制列表及功能

訪問(wèn)控制列表（Access Control List，ACL）是應(yīng)用到路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的信息流。通過(guò)對(duì)數(shù)據(jù)包做相應(yīng)的過(guò)濾、匹配，進(jìn)而告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制，從而起到保護(hù)相關(guān)設(shè)備，以及網(wǎng)絡(luò)安全的作用。

所謂訪問(wèn)控制列表（Access Control List，ACL），是指應(yīng)用到路由器和交換機(jī)接口的一組條件控制指令列表，用來(lái)控制端口進(jìn)出的信息流。它通過(guò)對(duì)數(shù)據(jù)包做相應(yīng)的過(guò)濾、匹配，進(jìn)而告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。因此，訪問(wèn)控制列表對(duì)整個(gè)網(wǎng)絡(luò)的安全防護(hù)起著至關(guān)重要的作用。訪問(wèn)控制列表目前有兩種基本分類：標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表。標(biāo)準(zhǔn)訪問(wèn)控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作，功能較為單一，其編號(hào)范圍是從1到99；擴(kuò)展訪問(wèn)控制列表比標(biāo)準(zhǔn)訪問(wèn)控制列表具有更多的匹配項(xiàng)，包括檢查數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型、IP優(yōu)先級(jí)和連接建立等，其編號(hào)范圍是從100到199。特定協(xié)議類型以及TCP等。相對(duì)而言，擴(kuò)展訪問(wèn)控制列表表現(xiàn)出了較標(biāo)準(zhǔn)訪問(wèn)控制列表所不具備的靈活性。

訪問(wèn)控制列表的主要功能在于：阻止非法用戶訪問(wèn)、使用特定的網(wǎng)絡(luò)資源或限定特定用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限。另外，還可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，也可在路由器端口處決定轉(zhuǎn)發(fā)或阻塞某種類型的通信數(shù)據(jù)流等。

2.訪問(wèn)控制列表在校園網(wǎng)絡(luò)安全網(wǎng)中的應(yīng)用

為了確保網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全工程師往往根據(jù)網(wǎng)絡(luò)安全具體需要，在路由器等設(shè)備上建立一系列訪問(wèn)控制列表，巧妙地將多種網(wǎng)絡(luò)訪問(wèn)控制列表策略結(jié)合起來(lái)使用。作為高校校園網(wǎng)的管理，我們認(rèn)為網(wǎng)絡(luò)安全不只是簡(jiǎn)單的防毒、防木馬，更是應(yīng)結(jié)合高校教學(xué)工作的本身特點(diǎn)，根據(jù)高校教學(xué)、生活各場(chǎng)所對(duì)網(wǎng)絡(luò)及有關(guān)數(shù)據(jù)安全的不同要求，網(wǎng)絡(luò)管理員可以運(yùn)用訪問(wèn)控制列表技術(shù)在對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備上設(shè)定相應(yīng)的網(wǎng)絡(luò)訪問(wèn)控制列表的安全策略，起到一種人為的控制和約束效果。舉例如下：

2.1 限制學(xué)生訪問(wèn)的網(wǎng)絡(luò)資源

針對(duì)學(xué)生非法訪問(wèn)網(wǎng)絡(luò)資源，甚至惡意攻擊學(xué)校網(wǎng)絡(luò)設(shè)備與服務(wù)器，可以設(shè)置合理、穩(wěn)妥的訪問(wèn)控制列表來(lái)限制學(xué)生所在網(wǎng)段的計(jì)算機(jī)訪問(wèn)學(xué)校的服務(wù)器（如管理服務(wù)器）。假設(shè)學(xué)生所在網(wǎng)段為192.168.1.100/22，其他校園網(wǎng)內(nèi)的用戶網(wǎng)段為192.168.0.100/22，為了防止學(xué)生惡意攻擊相關(guān)服務(wù)器，同時(shí)又不影響其他用戶的正常訪問(wèn)網(wǎng)絡(luò)資源，可以在相關(guān)網(wǎng)絡(luò)設(shè)備上設(shè)置如下訪問(wèn)控制列表，并將其應(yīng)用到相關(guān)接口上。

高校教室、實(shí)驗(yàn)室一般是提供給學(xué)生學(xué)習(xí)、做實(shí)驗(yàn)的場(chǎng)所。作息時(shí)間，為了確保學(xué)生能夠做到自律，認(rèn)真學(xué)習(xí)，防止他們?nèi)プ鲆恍┡c學(xué)習(xí)無(wú)關(guān)的事情（聊QQ、玩網(wǎng)絡(luò)游戲等），這就需要網(wǎng)絡(luò)管理員在對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備上設(shè)定相應(yīng)的網(wǎng)絡(luò)訪問(wèn)控制列表。假設(shè)電影、聊QQ、玩網(wǎng)絡(luò)游戲之類的資源放在校園網(wǎng)網(wǎng)段為192.168.2.0的的FTP服務(wù)器上，而學(xué)生教室或?qū)嶒?yàn)室網(wǎng)段為192.168.3.0，這里就可采用一下的訪問(wèn)控制列表配置策略實(shí)現(xiàn)相應(yīng)要求：

2.2 某些場(chǎng)所需要單向網(wǎng)絡(luò)訪問(wèn)控制

教務(wù)處、任課教師的辦公室往往會(huì)存一些試卷等秘密信息或數(shù)據(jù)，因此不宜讓學(xué)生訪問(wèn)，但是教務(wù)處、教師辦公室網(wǎng)段要能訪問(wèn)學(xué)生的教室、實(shí)驗(yàn)室的電腦，以便對(duì)學(xué)生上課、做實(shí)驗(yàn)等情況進(jìn)行監(jiān)控。假設(shè)教師的辦公室網(wǎng)段為192.168.1.0，教室或?qū)嶒?yàn)室網(wǎng)段為192.168.3.0，這樣，要達(dá)到192.168.1.0網(wǎng)段到192.168.3.0網(wǎng)段的單向訪問(wèn)控制，網(wǎng)絡(luò)管理員可采用如下的訪問(wèn)控制列表進(jìn)行策略配置：

2.3 網(wǎng)絡(luò)管理員需要遠(yuǎn)程控制

在校園網(wǎng)絡(luò)安全管理過(guò)程中，為了方便網(wǎng)絡(luò)管理員對(duì)校園內(nèi)各種網(wǎng)絡(luò)設(shè)備的管理，網(wǎng)絡(luò)管理員可以通過(guò)遠(yuǎn)程登錄的方法對(duì)遍布校園各個(gè)角落的路由器、交換機(jī)、防火墻進(jìn)行配置，制訂網(wǎng)絡(luò)安全策略，阻止其他人員對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程訪問(wèn)和登陸，確保只有網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)IP地址才能夠訪問(wèn)該網(wǎng)絡(luò)設(shè)備。假設(shè)網(wǎng)絡(luò)設(shè)備所處網(wǎng)段為10.1.100.0，管理網(wǎng)段為10.1.300.0，在相關(guān)網(wǎng)絡(luò)設(shè)備上可采用如下訪問(wèn)控制策略，并將其應(yīng)用到相關(guān)接口上，從而只允許上述管理網(wǎng)段對(duì)設(shè)備訪問(wèn)。

2.4 限制來(lái)自P2P和網(wǎng)絡(luò)游戲蠶食帶寬流量

據(jù)相關(guān)數(shù)據(jù)顯示，在高校校園網(wǎng)中50～90%的總流量都來(lái)自P2P，其蠶食著大量帶寬，常常導(dǎo)致校園內(nèi)對(duì)實(shí)時(shí)性要求較高的如多媒體教學(xué)、電視電話會(huì)議、教師教學(xué)科研上網(wǎng)和校園辦公OA等無(wú)法正常的開展（謝大吉，2011）。對(duì)此，可以利用訪問(wèn)控制列表將其它不常用的端口關(guān)閉掉，阻斷大部分P2P流量和網(wǎng)絡(luò)游戲。目前主流的網(wǎng)絡(luò)視頻、聊天軟件、在線游戲大多采用P2P技術(shù)。這些P2P軟件或游戲有些是用一些固定的端口，但有些P2P工具無(wú)法確定所使用的端口號(hào)，因而最好的辦法就是把除正常業(yè)務(wù)需要所使用的端口如http的80端口、ftp的21，22端口、telnet的23端口等外，在相關(guān)網(wǎng)絡(luò)設(shè)備上通過(guò)訪問(wèn)控制列表將關(guān)掉其它不常用的端口，從而使得大部分P2P軟件和網(wǎng)絡(luò)游戲無(wú)法正常使用，保證正常網(wǎng)絡(luò)業(yè)務(wù)開展。

3.結(jié)語(yǔ)

通過(guò)采用訪問(wèn)控制列表以上的系列配置策略，可對(duì)目前高校校園網(wǎng)構(gòu)建起基本的網(wǎng)絡(luò)安全體系。但是，在具體的網(wǎng)絡(luò)安全防護(hù)中，訪問(wèn)控制列表并沒(méi)有被充分地利用，也有的運(yùn)行不當(dāng)還可能造成網(wǎng)絡(luò)資源浪費(fèi)，降低網(wǎng)絡(luò)的服務(wù)效率。

因而，在構(gòu)建安全、可靠的網(wǎng)絡(luò)環(huán)境時(shí)，應(yīng)當(dāng)結(jié)合網(wǎng)絡(luò)安全具體需求和設(shè)備的實(shí)際支持功能，合理的配置與部署訪問(wèn)控制列表，這樣才能既保護(hù)網(wǎng)絡(luò)安全，又發(fā)揮了網(wǎng)絡(luò)的服務(wù)效率。

[1]斯桃枝,姚馳甫.路由與交換技術(shù)[M].北京:北京大學(xué)出版社,2008.

[2]莫林利.使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J].華東交通大學(xué)學(xué)報(bào),2009(12).

[3]謝大吉.網(wǎng)絡(luò)管理中訪問(wèn)控制列表應(yīng)用探討[J].中國(guó)科技信息,2011(2).

book=257,ebook=85

王尊（1992—），男，江蘇淮安人，南京理工大學(xué)電光學(xué)院通信工程專業(yè)2011級(jí)本科生，研究方向：無(wú)線通信。