張易鴻，邱 瑞，陶成義，柯 迅，李 逸＊

（貴州師范大學(xué) 物理與電子科學(xué)學(xué)院，貴州 貴陽(yáng) 550001）

訪問(wèn)控制列表ACL在網(wǎng)絡(luò)精細(xì)化管理中的作用研究

張易鴻，邱 瑞，陶成義，柯 迅，李 逸＊

（貴州師范大學(xué) 物理與電子科學(xué)學(xué)院，貴州 貴陽(yáng) 550001）

近年隨著高校校園網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，隨之而來(lái)的管理和安全問(wèn)題日益凸顯，其管理模式也必將向可控化、精細(xì)化模式方向發(fā)展?；谠L問(wèn)控制列表的校園網(wǎng)絡(luò)控制技術(shù)可以滿足網(wǎng)絡(luò)精細(xì)化管理的需要。在簡(jiǎn)要介紹ACL基本概念及其工作原理的基礎(chǔ)上，文章結(jié)合實(shí)例通過(guò)配置ACL規(guī)則研究了ACL在網(wǎng)絡(luò)精細(xì)化管理中的作用，探討了ACL在網(wǎng)絡(luò)精細(xì)化管理中的作用和意義。

訪問(wèn)控制列表；ACL規(guī)則；網(wǎng)絡(luò)精細(xì)化管理

近年隨著高校校園網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，隨之而來(lái)的管理和安全問(wèn)題日益凸顯，其管理模式也必將向可控化、精細(xì)化模式方向發(fā)展。基于訪問(wèn)控制列表(Access Control Lists，ACL)的校園網(wǎng)絡(luò)控制技術(shù)可以滿足校園網(wǎng)絡(luò)精細(xì)化管理的需要。

1 ACL基本概念

ACL是應(yīng)用于路由器接口的指令列表，用于確定哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)(permit)，哪些數(shù)據(jù)包需要拒絕(deny)。是一系列包含源地址(Source Address)、目的地址(Destination Address)、端口號(hào)(Port Number)等諸多信息的語(yǔ)句集合，每條語(yǔ)句組成一個(gè)規(guī)則(rule)，它規(guī)定了對(duì)接收到的數(shù)據(jù)包的處理動(dòng)作，對(duì)經(jīng)過(guò)路由器或交換機(jī)的數(shù)據(jù)流進(jìn)行判斷、分類和過(guò)濾。ACL通過(guò)匹配數(shù)據(jù)包中的信息與訪問(wèn)控制列表的規(guī)則實(shí)現(xiàn)過(guò)濾接收到的數(shù)據(jù)包，實(shí)現(xiàn)對(duì)路由器的安全控制。ACL使用包過(guò)濾技術(shù)，在路由器或交換機(jī)網(wǎng)絡(luò)設(shè)備上讀取網(wǎng)絡(luò)層及傳輸層數(shù)據(jù)報(bào)首部中的端口和地址信息，根據(jù)預(yù)先制定好的規(guī)則對(duì)包進(jìn)行過(guò)濾處理，從而實(shí)現(xiàn)訪問(wèn)控制的目的。ACL工作原理如圖1所示。

圖1 交換機(jī)ACL工作原理

從圖1中看到數(shù)據(jù)包發(fā)送到交換機(jī)中，從接口位置進(jìn)入路由表，由路由器表進(jìn)行判斷，如果未通過(guò)路由器表判斷則將數(shù)據(jù)包丟棄，通過(guò)則根據(jù)數(shù)據(jù)包內(nèi)容選擇接口。繼續(xù)對(duì)是否使用ACL進(jìn)行判斷，如果不使用ACL數(shù)據(jù)包將直接從接口處發(fā)出。將使用ACL的數(shù)據(jù)包進(jìn)行ACL規(guī)則匹配控制，通過(guò)匹配則將數(shù)據(jù)包從接口發(fā)出，反之則直接丟棄。

2 ACL工作原理

ACL自動(dòng)控制的工作原理如圖2所示。

由圖2可以知道，若數(shù)據(jù)包同時(shí)滿足多條規(guī)則，則匹配排在最前面的那一條規(guī)則，因此一般把范圍小的規(guī)則放在最前面，范圍大的規(guī)則放在最后面。同時(shí)，出于網(wǎng)絡(luò)安全考慮，在每個(gè)ACL的最后，系統(tǒng)會(huì)自動(dòng)附加一條隱式的拒絕所有數(shù)據(jù)包通過(guò)的deny規(guī)則。因此ACL的最后經(jīng)常需定義一條允許所有數(shù)據(jù)包通過(guò)的permit規(guī)則。

在實(shí)際使用ACL的過(guò)程中，應(yīng)遵循以下3個(gè)基本原則：（1）最小特權(quán)原則：只給予受控對(duì)象完成任務(wù)所必須的最小權(quán)限。（2）最靠近受控對(duì)象原則：所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制。（3）默認(rèn)丟棄原則：如在ZXR10 5950三層交換機(jī)中默認(rèn)最后一句為ACL加入了deny any any規(guī)則，即全部拒絕—丟棄所有不符合規(guī)則的數(shù)據(jù)包。

圖2 ACL工作原理圖

3 ACL在網(wǎng)絡(luò)精細(xì)化管理中的作用研究與實(shí)現(xiàn)

很多企業(yè)和學(xué)校都在使用網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）技術(shù)進(jìn)行地址轉(zhuǎn)換，而NAT技術(shù)中就包含了ACL技術(shù)的應(yīng)用。目前ACL的主要應(yīng)用有兩種：基本ACL和擴(kuò)展ACL，其區(qū)別是：基本ACL只能實(shí)現(xiàn)檢查數(shù)據(jù)包的源地址(Source Address)；擴(kuò)展ACL既檢查源地址，也檢查目的地址，同時(shí)還可以檢查特定的協(xié)議類型、端口號(hào)等。網(wǎng)絡(luò)管理員可以配置基本ACL阻止或者允許來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（如IP協(xié)議）的所有通信流量。但擴(kuò)展ACL比基本ACL提供了更廣泛的控制范圍。

除了主要的兩種ACL（基本ACL、擴(kuò)展ACL）外還有二層ACL、混合ACL、基本IPv6 ACL、擴(kuò)展IPv6 ACL等若干種不同的ACL。在日常生活中最主要的兩種ACL就是基本ACL和擴(kuò)展ACL?，F(xiàn)在使用擴(kuò)展ACL為學(xué)校微機(jī)教室的網(wǎng)絡(luò)環(huán)境進(jìn)行管理，為學(xué)校師生服務(wù)。

配置實(shí)例：學(xué)校有一臺(tái)ZXR10 5950三層交換機(jī)，3臺(tái)服務(wù)器和機(jī)房A、機(jī)房B的用戶都連接到這臺(tái)交換機(jī)上，并作出以下規(guī)定：

①機(jī)房A和機(jī)房B的用戶在上課時(shí)間（8:30—17:30）不允許訪問(wèn)文件服務(wù)器和視頻點(diǎn)播服務(wù)器，但可隨時(shí)訪問(wèn)郵件服務(wù)器。

②內(nèi)網(wǎng)用戶可以通過(guò)代理192.168.4.100訪問(wèn)互聯(lián)網(wǎng)，但不允許機(jī)房A的用戶在上課時(shí)間訪問(wèn)互聯(lián)網(wǎng)。

③機(jī)房A和機(jī)房B的教師（IP地址分別為192.168.1.101和192.168.2.101）可以隨時(shí)訪問(wèn)互聯(lián)網(wǎng)和所有服務(wù)器。

3臺(tái)服務(wù)器的IP地址分配如下：

郵件服務(wù)器：192.168.5.50；文件服務(wù)器：192.168.5.60；視頻點(diǎn)播服務(wù)器：192.168.5.70。

在ZXR10 5950三層交換機(jī)設(shè)備中的ACL規(guī)則配置如下：

在配置實(shí)例中設(shè)置了不同的ACL規(guī)則，實(shí)現(xiàn)了通過(guò)ACL對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包的收發(fā)進(jìn)行精細(xì)化管理的目的。

4 結(jié)語(yǔ)

可以將ACL這一技術(shù)引用到學(xué)校公司等對(duì)網(wǎng)絡(luò)安全有一定需求的地方。在實(shí)際應(yīng)用中，可靈活配置ACL以更加細(xì)致地管理網(wǎng)絡(luò)，使網(wǎng)絡(luò)的管理向著更加智能化的方向發(fā)展，并使之成為生活中前進(jìn)的動(dòng)力。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].6版.北京：電子工業(yè)出版社，2013.

[2]姜丹丹.路由與交換實(shí)戰(zhàn)入門(mén)[M].北京：科學(xué)出版社，2012.

[3]杭州華三通信技術(shù)有限公司.H3C以太網(wǎng)交換機(jī)典型配置指導(dǎo)[M].北京：清華大學(xué)出版社，2012.

[4]蘭少華，楊余旺，呂建勇.TCP/IP網(wǎng)絡(luò)與協(xié)議[M].北京：清華大學(xué)出版社，2009.

[5]斯桃枝，姚馳甫.路由與交換技術(shù)[M].北京：北京大學(xué)出版社，2008.

[6]周星，汪國(guó)安，張震，等.網(wǎng)絡(luò)層訪問(wèn)控制列表的應(yīng)用[J].河南大學(xué)學(xué)報(bào)（自然版），2004（3）：62-66.

Research on effect of the access control list in the network elaborate management

Zhang Yihong, Qiu Rui, Tao Chengyi, Ke Xun, Li Yi*
（Physics and Electronic Science School of Guizhou Normal University, Guiyang 550001, China）

In recent years, as the growth of the college campus network scale, the subsequent management and security problems highlighted increasingly, its management mode also will be certainly changed to controllable and elaborate. Based on the ACL of the campus network control technology can meet the needs of the network elaborate management. On the basis of brief introduction of ACL basic concept and principles, an instance by how to configure ACL rules in the research and implementation of network elaborate management was given. Finally, the effect and meaning of the ACL in the network elaborate management was discussed.

ACL; ACL rules; network elaborate management

2015年度貴州師范大學(xué)大學(xué)生科研訓(xùn)練計(jì)劃項(xiàng)目；項(xiàng)目編號(hào)：20150808。

張易鴻（1994— ），男，甘肅白銀，本科。

＊通訊作者：李逸（1980— ），男，貴州畢節(jié)，講師；研究方向：計(jì)算機(jī)網(wǎng)絡(luò)通信，網(wǎng)絡(luò)信息安全。