銀少海

（呼和浩特職業(yè)學(xué)院 內(nèi)蒙古 010051）

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，在一定程度上也給人們的工作生活等帶來(lái)了安全隱患，現(xiàn)在社會(huì)中，所有網(wǎng)絡(luò)用戶(hù)都應(yīng)該時(shí)刻注意網(wǎng)絡(luò)安全問(wèn)題，高校也是一樣。路由器是連接互聯(lián)網(wǎng)和局域網(wǎng)的重要設(shè)備，但是絕大部分人都只認(rèn)識(shí)到它最基本的功能——路由，不知道它不僅可以是傳輸數(shù)據(jù)用的，它還可以通過(guò)設(shè)置訪(fǎng)問(wèn)控制列表來(lái)進(jìn)行安全的防護(hù)工作，這是抵御網(wǎng)絡(luò)攻擊的一個(gè)非常重要的控制策略。

1 訪(fǎng)問(wèn)控制列表的作用和分類(lèi)

首先，訪(fǎng)問(wèn)控制列表的作用可以應(yīng)用到限制網(wǎng)絡(luò)流，提高網(wǎng)絡(luò)性能上。舉例來(lái)說(shuō)，網(wǎng)絡(luò)中的信息是由數(shù)據(jù)包組成的，訪(fǎng)問(wèn)控制列表就是通過(guò)指定數(shù)據(jù)包來(lái)進(jìn)行優(yōu)先級(jí)劃分。其次，訪(fǎng)問(wèn)控制列表可以對(duì)通信流進(jìn)行控制。比如，訪(fǎng)問(wèn)控制列表可以通過(guò)對(duì)路由信息的長(zhǎng)度進(jìn)行簡(jiǎn)化或是限定，使想要通過(guò)此網(wǎng)絡(luò)層的通訊流量被限制住。再次，訪(fǎng)問(wèn)控制列表在網(wǎng)絡(luò)安全訪(fǎng)問(wèn)中也起到了重要的作用，比如，在局域網(wǎng)中，通過(guò)訪(fǎng)問(wèn)控制列表來(lái)對(duì)特定的網(wǎng)絡(luò)資源進(jìn)行設(shè)置，只允許一臺(tái)主機(jī)或網(wǎng)絡(luò)能夠進(jìn)行訪(fǎng)問(wèn)，其他主機(jī)或網(wǎng)絡(luò)用戶(hù)則無(wú)權(quán)進(jìn)入訪(fǎng)問(wèn)資源。最后，在所有的信息流量中訪(fǎng)問(wèn)控制列表能夠通過(guò)網(wǎng)絡(luò)層設(shè)備的端口來(lái)進(jìn)行處理哪些是可以通過(guò)的通信流，哪些是被阻擋在外的。比如，用戶(hù)在訪(fǎng)問(wèn)控制列表中設(shè)定了允許E-MALI通信流能夠通過(guò)路由，而所有的TENLET通信流都被設(shè)置為拒絕通過(guò)。

訪(fǎng)問(wèn)列表是分為兩種的，一種是標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表，另一種是拓展訪(fǎng)問(wèn)列表。其中，標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表的功能是十分有限的，它只允許被過(guò)濾源地址。而擴(kuò)展的訪(fǎng)問(wèn)列表在功能上就比標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表多出好多，不僅能夠允許過(guò)濾源地址，還能對(duì)目的地址和上層應(yīng)用數(shù)據(jù)進(jìn)行相關(guān)檢測(cè)。

Cics路由器在對(duì)訪(fǎng)問(wèn)列表上有著領(lǐng)先技術(shù)，它是從IOS12.0開(kāi)始就能根據(jù)時(shí)間來(lái)進(jìn)行設(shè)置訪(fǎng)問(wèn)列表，可以在一天的不同時(shí)間段或是一個(gè)星期中的不同日期來(lái)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行控制轉(zhuǎn)發(fā)。加入時(shí)間的訪(fǎng)問(wèn)列表是在標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表和擴(kuò)展訪(fǎng)問(wèn)列表的基礎(chǔ)上來(lái)進(jìn)行的，是通過(guò)有效的時(shí)間來(lái)對(duì)網(wǎng)絡(luò)控制做到更合理，更有效。擁有時(shí)間的訪(fǎng)問(wèn)列表也是需要擁有原先訪(fǎng)問(wèn)列表這一基礎(chǔ)的，是需要預(yù)先設(shè)定的時(shí)間范圍才能應(yīng)用起來(lái)的。

2 訪(fǎng)問(wèn)控制列表在校園網(wǎng)絡(luò)安全網(wǎng)中的應(yīng)用

在網(wǎng)絡(luò)安全的建設(shè)中，網(wǎng)絡(luò)安全工程師為了確保網(wǎng)絡(luò)能夠在安全的環(huán)境下工作，在實(shí)際的建設(shè)中，是需要根據(jù)各單位的網(wǎng)絡(luò)安全中的具體需求來(lái)進(jìn)行工作的，在相關(guān)的設(shè)備中建立各種復(fù)雜的訪(fǎng)問(wèn)控制列表，并巧妙的將其結(jié)合起來(lái)使用。在校園網(wǎng)的管理中，網(wǎng)絡(luò)安全不僅僅是對(duì)簡(jiǎn)單的木馬，病毒來(lái)進(jìn)行防護(hù)，更多的是要結(jié)合高校自身的特點(diǎn)，根據(jù)不同的需求來(lái)對(duì)網(wǎng)絡(luò)安全進(jìn)行設(shè)置，網(wǎng)絡(luò)管理員可以通過(guò)對(duì)校園網(wǎng)的了解及日常工作中遇到的問(wèn)題在網(wǎng)絡(luò)設(shè)備上設(shè)置相應(yīng)的訪(fǎng)問(wèn)控制列表，這樣人為的控制安全策略能夠起到一定的約束效果。舉例來(lái)說(shuō)：

2.1 限制學(xué)生訪(fǎng)問(wèn)的網(wǎng)絡(luò)資源

在校園網(wǎng)中，需要注意的是學(xué)生非法訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，有些計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)的好的學(xué)生可能會(huì)惡意攻擊學(xué)校中的網(wǎng)絡(luò)設(shè)備或是服務(wù)器等，所以在校園網(wǎng)的安全防護(hù)上要設(shè)置合理，穩(wěn)妥的訪(fǎng)問(wèn)控制列表來(lái)限制學(xué)生所用的網(wǎng)段對(duì)校園網(wǎng)的服務(wù)器進(jìn)行訪(fǎng)問(wèn)，如果學(xué)生所用的網(wǎng)段為192.168.1.100/22，校園網(wǎng)中其他用戶(hù)的網(wǎng)段為192.168.0.100/22，那么為了防止學(xué)生對(duì)校園服務(wù)器進(jìn)行惡意攻擊的同時(shí)又不妨礙其他用戶(hù)的正常工作，這就可以在相關(guān)的網(wǎng)絡(luò)設(shè)備中設(shè)置應(yīng)用訪(fǎng)問(wèn)控制列表權(quán)限。

Router（config）#access-1ist 1 deny 192.168.1.0 0.0.0.255

Router（config）#access-1ist 1 permit any

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 1 in

在高校中，教室和實(shí)驗(yàn)室是學(xué)生駐留時(shí)間最久的地方，是給學(xué)生學(xué)習(xí)和做實(shí)驗(yàn)的場(chǎng)所，在休息時(shí)間段里，要確保學(xué)生能夠真正放松去休息，學(xué)習(xí)時(shí)間能夠認(rèn)真學(xué)習(xí)，擁有良好的自律意識(shí)，不去做一些與學(xué)習(xí)無(wú)關(guān)的事或是妨礙休息時(shí)間的事情，比如通過(guò)網(wǎng)絡(luò)聊天工具進(jìn)行聊天，玩大型的網(wǎng)絡(luò)游戲等。這時(shí)就需要運(yùn)用到訪(fǎng)問(wèn)控制列表來(lái)對(duì)相應(yīng)的網(wǎng)絡(luò)設(shè)備中進(jìn)行網(wǎng)絡(luò)限制。假如能夠進(jìn)行各種網(wǎng)絡(luò)游戲，視頻及聊天的資源都在校園網(wǎng)中網(wǎng)段為192.168.2.0的FTP服務(wù)器上，學(xué)生所用的網(wǎng)段則是192.168.3.0時(shí)，如何采用訪(fǎng)問(wèn)控制列表來(lái)限制其進(jìn)行相關(guān)操作就需要通過(guò)以下配置來(lái)實(shí)現(xiàn)：

Router（config）#access-1ist 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww

Router（config）#access-1ist 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp

Router（config）#access-1ist 102 permit ip any any Router（config）#int E1

Router（config）#ip access-group 102 out

2.2 網(wǎng)絡(luò)管理員需要遠(yuǎn)程控制

在校園網(wǎng)絡(luò)的安全管理中，由于校園網(wǎng)的鋪蓋面積較廣，所以在網(wǎng)絡(luò)管理及設(shè)備管理上能達(dá)到快捷方便，就需要網(wǎng)絡(luò)管理員建立一個(gè)遠(yuǎn)程登錄平臺(tái)，通過(guò)遠(yuǎn)程控制的方法對(duì)校園里所有的路由器及交換機(jī)、防火墻進(jìn)行安全設(shè)置，制訂出網(wǎng)絡(luò)安全策略，并且這個(gè)登錄平臺(tái)是其他人員無(wú)法登錄和訪(fǎng)問(wèn)的，只有特定的網(wǎng)絡(luò)IP地址才能對(duì)其進(jìn)行訪(fǎng)問(wèn)登錄。假設(shè)網(wǎng)絡(luò)所處網(wǎng)段為10.1.100.0，管理網(wǎng)段是10.1.300.0，如何在相關(guān)的網(wǎng)絡(luò)設(shè)備中進(jìn)行訪(fǎng)問(wèn)就需要采用以下訪(fǎng)問(wèn)控制策略，通過(guò)運(yùn)用到相關(guān)接口上來(lái)允許管理網(wǎng)段對(duì)其進(jìn)行訪(fǎng)問(wèn)。

Router（config）#access-1ist 101

permit ip 10.1.300.0 0.0.0.255 10.1.100.0 0.0.0.255

Router（config）#access-1ist 101 deny ip any 10.1.100.0 0.0.0.255

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 101 in

2.3 學(xué)生宿舍限制上網(wǎng)時(shí)段

上述中我們到Cics路由器從IOS12.0版本開(kāi)始就已經(jīng)可以通過(guò)定時(shí)來(lái)設(shè)置訪(fǎng)問(wèn)控制列表，在高校中，學(xué)生上網(wǎng)時(shí)段是需要進(jìn)行嚴(yán)格控制的，這就需要通過(guò)這一列表來(lái)對(duì)其進(jìn)行控制，假如校園網(wǎng)中能允許學(xué)生上網(wǎng)的時(shí)間是每天的7：00到23：00，那么可以在相關(guān)設(shè)備上進(jìn)行如下的配置：

C6509-CENTER（config）# time-range stu_dom

C6509-CENTER（config-time）# periodic dai1y 7：00 to 23：00 //定義時(shí)間范圍

C6509-CENTER（config）# access-1ist 111 permit ip any any time-range stu_dom

C6509-CENTER（config）# int v1an 50 //

進(jìn)入 v1an 50C6509-CENTER（config-if）# ip access-group 111 in

3 結(jié)束語(yǔ)

在校園網(wǎng)中，網(wǎng)絡(luò)管理員有效的應(yīng)用訪(fǎng)問(wèn)控制列表，可以使校園網(wǎng)絡(luò)的安全性得到很大的提高，但是需要明確一點(diǎn)，就是防火墻的作用也是至關(guān)重要的，不能因?yàn)樵O(shè)置了訪(fǎng)問(wèn)控制列表就忽視了防火墻的設(shè)置，要兩者相結(jié)合才能使校園網(wǎng)絡(luò)更加的安全。

[1]劉璨.訪(fǎng)問(wèn)控制列表在校園網(wǎng)的應(yīng)用[J].東莞理工學(xué)院學(xué)報(bào).2010.

[2]王尊.訪(fǎng)問(wèn)控制列表在高校校園網(wǎng)絡(luò)安全中的應(yīng)用[J].電子世界.2014.