朱 林

（遼陽職業(yè)技術(shù)學(xué)院，遼寧 遼陽111004）

關(guān)鍵字：校園信息化建設(shè)；網(wǎng)絡(luò)接入管理；網(wǎng)絡(luò)安全

2017年6月1日起 《中華人民共和國網(wǎng)絡(luò)安全法》將正式開始實施.從這部法律制定過程的高效性可以看出，國家對網(wǎng)絡(luò)安全的重視程度越來越高，對網(wǎng)絡(luò)環(huán)境的防控也越來越急迫.所以校園網(wǎng)作為一個最基層的網(wǎng)絡(luò)，在建設(shè)和管理過程中，不但要考慮網(wǎng)絡(luò)服務(wù)的高效穩(wěn)定性，而且要保證網(wǎng)絡(luò)環(huán)境的安全性，其中接入的安全與管理是校園網(wǎng)建設(shè)要解決的首要問題.

保證對接入用戶使用網(wǎng)絡(luò)的溯源唯一性是校園網(wǎng)接入管理應(yīng)遵循的原則.在新 《網(wǎng)絡(luò)安全法》制定之前，公安部于2006年就發(fā)布了 《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》，規(guī)定中有多項條款都提出了對訪問日志審計的要求［1］.通俗地講就是網(wǎng)絡(luò)提供者應(yīng)需要通過技術(shù)手段追溯每一個數(shù)據(jù)包的源頭，以備在出現(xiàn)網(wǎng)絡(luò)安全事件時，對實施者進行追責.所以在校園網(wǎng)實際建設(shè)和規(guī)劃中，除了要滿足網(wǎng)絡(luò)使用者對網(wǎng)絡(luò)服務(wù)的使用要求，還需要規(guī)劃和配置相應(yīng)的技術(shù)手段對接入網(wǎng)絡(luò)的使用者進行限制和溯源管理，并且保證溯源的唯一性.以下我們將討論在實際網(wǎng)絡(luò)建設(shè)中經(jīng)常使用的幾種和接入管理有關(guān)的技術(shù)手段和應(yīng)用系統(tǒng).

1 交換機端口安全功能

交換機在網(wǎng)絡(luò)拓撲中屬于最底層的設(shè)備，交換機的端口也是距離用戶最近的可管理網(wǎng)絡(luò)連接點，交換機在OSI參考模型中屬于2～3層設(shè)備［2］，所以交換機端口安全技術(shù)可以說是離用戶最近的安全防護技術(shù)，也是最底層的安全防護技術(shù).

端口安全功能實現(xiàn)的原理主要是對通過交換機端口標識有源MAC地址的報文進行監(jiān)測及判斷，通過設(shè)置相應(yīng)的規(guī)則來完成對標識有源MAC地址的報文通過端口的限制，以達到網(wǎng)絡(luò)接入管理和網(wǎng)絡(luò)安全保護的功能，開啟端口安全功能的端口被稱為安全端口.我們可以手動添加靜態(tài)特定MAC地址或者限定動態(tài)學(xué)習(xí)到的MAC地址的數(shù)量來控制通過交換機的報文，如果符合限定的MAC地址，則端口對該報文實行放行措施；反之，設(shè)備會直接將報文丟棄.

MAC地址屬于OSI參考模型的二層技術(shù)，當標識有源MAC地址的報文在經(jīng)過三層接口時，源MAC地址會替換成三層設(shè)備接口的MAC地址進行轉(zhuǎn)發(fā)，所以當網(wǎng)絡(luò)接入管理要求溯源的情況下，對于MAC地址的溯源就相對有些局限了，而IP地址除NAT轉(zhuǎn)換以外的三層路由間轉(zhuǎn)發(fā)的時候是不會改變的.與MAC地址相比，對IP地址的溯源則更適合網(wǎng)絡(luò)接入管理溯源性的要求，在網(wǎng)絡(luò)拓撲的設(shè)計時也相對靈活很多.所以在端口安全設(shè)定中，我們可以在端口上將IP地址與MAC地址進行綁定，這樣既保證了端口對帶有源MAC地址的限定功能，也保證了網(wǎng)絡(luò)接入管理的溯源要求.

端口下的IP＋MAC綁定，在接入控制管理方面可以說是最底層的管理手段，也是在實際部署中最常用的端口安全功能，但是從校園網(wǎng)整體管理來看存在著自己的優(yōu)勢和局限.

首先，由于IP＋MAC綁定是在最底層端口上應(yīng)用的技術(shù)，所以它不受其他網(wǎng)絡(luò)設(shè)備布局的影響，可以直接對使用端發(fā)起接入限制功能，而且IP＋MAC的模式也保證了三層網(wǎng)絡(luò)框架下的接入可追溯性.但是由于這種分布在最底層的設(shè)備上的技術(shù)，它需要進入到每一個交換機的接口上進行設(shè)置，所以在擁有幾個點的小型網(wǎng)絡(luò)環(huán)境中，它是一種便捷的管理手段，但在擁有上千個接入點的校園網(wǎng)中，全部使用這種方式來實現(xiàn)網(wǎng)絡(luò)接入的管理，顯然就有些力不從心.可以看出這種技術(shù)隨著綁定信息組的不斷增多，它的便捷性也越來越差，最后會成為一種網(wǎng)絡(luò)管理的負擔，對于網(wǎng)絡(luò)管理本身顯得有點得不償失.

其次，在端口下配置IP＋MAC綁定時，是可以綁定多組IP＋MAC信息的，所以在實際配置時，也可以將綁定的端口選擇為上連設(shè)備的接口，這種選擇可以解決逐一端口配置的問題，但仍然是一個接入設(shè)備對應(yīng)一組信息，仍舊無法解決大型網(wǎng)絡(luò)對于網(wǎng)絡(luò)接入管理的便捷化需求.另外在上連接口配置了IP＋MAC綁定的同時，也把該接口以下的網(wǎng)絡(luò)直接定義成了有規(guī)則的限制性網(wǎng)絡(luò)，也同時增加了網(wǎng)絡(luò)拓撲的局限性.所以隨著綁定端口選擇的逐漸上移，該技術(shù)的底層優(yōu)勢也逐漸消失，網(wǎng)絡(luò)接入管理的局限性也越來越大.

第三，IP＋MAC地址的綁定功能多數(shù)是在交換機的管理界面中通過命令行的形式來實現(xiàn)的.雖然命令并不復(fù)雜，但是對操作人員來說也需要有一定的技術(shù)水平，或者說對交換機管理有一定熟悉程度的人才能熟練對該功能進行配置.另外這種通過命令行的配置，也不利于后期信息的修改和查詢.所以這種接入控制手段會隨著信息配置的增多，操作難度和維護難度也將隨之增大.

綜上所述，交換機端口安全功能，特別是IP＋MAC地址綁定功能，在實際使用過程中是一種適合部署在底層交換機接口上的技術(shù).它不適合應(yīng)用在大型網(wǎng)絡(luò)的接入控制方面，但由于它部署的位置不受其他網(wǎng)絡(luò)拓撲的限制，可以靈活解決一些特殊需求的設(shè)備在網(wǎng)絡(luò)接入管理中遇到的問題.所以端口安全功能在網(wǎng)絡(luò)安全接入管理控制中，只能作為一種輔助手段來體現(xiàn)它的實際價值，但是在滿足接入管理可控和網(wǎng)絡(luò)接入可追溯的原則下部署某些設(shè)備時，這種功能也是其他技術(shù)手段無法替代的，這也正是它存在的意義.

2 訪問控制列表功能

訪問控制列表簡稱ACL（Access Control Lists），有的技術(shù)資料也稱接入控制列表，多用于三層交換機和路由器的配置，屬于OSI參考模型的3－4層協(xié)議的控制技術(shù)［2］.在實際部署中它還具體分為基本訪問控制列表和高級訪問控制列表，基本訪問控制列表只針對報文的源地址信息制定相應(yīng)的規(guī)則，而高級訪問控制列表則可以根據(jù)報文的源地址信息、目的地址信息、IP承載協(xié)議類型、協(xié)議特性、時間參數(shù)等信息制定相應(yīng)的規(guī)則.通過制定相應(yīng)的規(guī)則我們可以對某一個IP地址或某一段IP地址在3－4層協(xié)議之間實現(xiàn)訪問控制，從而達到對網(wǎng)絡(luò)接入管理的目的.

訪問控制列表實現(xiàn)的原理是在接口上進行的一種雙向區(qū)分的包過濾過程.在制定完相應(yīng)的ACL規(guī)則后，則需要將該ACL規(guī)則應(yīng)用到相應(yīng)端口的某一數(shù)據(jù)流向上.當數(shù)據(jù)經(jīng)過該流向的ACL時，系統(tǒng)將對數(shù)據(jù)包進行過濾，根據(jù)規(guī)則選擇通過或者丟棄.

在實際部署中，訪問控制列表技術(shù)一般部署在網(wǎng)絡(luò)主干的接口上或區(qū)域網(wǎng)絡(luò)主干的接口上，實現(xiàn)對一個區(qū)域的單一IP地址或IP地址段的接入控制.但從校園網(wǎng)整體管理來看，它也有著自己的優(yōu)勢和局限.

首先，與端口下的IP＋MAC綁定功能相比，ACL可以更加精準地實現(xiàn)對數(shù)據(jù)的控制.IP＋MAC綁定只能限制數(shù)據(jù)的通過與丟棄，而ACL則可以對數(shù)據(jù)的目的、作用、時間等精準參數(shù)進行限制.但是由于它限制的源地址信息為IP地址，且部署位置多為主干，所以ACL可以實現(xiàn)對數(shù)據(jù)控制，但無法實現(xiàn)對數(shù)據(jù)溯源的唯一性.

其次，雖然ACL可以對整段的IP地址進行訪問控制，避免了逐個IP地址的配置，但是整段IP地址的限制對于整個網(wǎng)絡(luò)接入管理來說還是顯得不夠靈活.

第三，ACL的配置大多仍使用命令行的形式來配置，而且對于協(xié)議和端口的接入控制同樣需要操作人員有一定的技術(shù)水平.

綜上所述，訪問控制列表功能是一種在實際使用時適合部署在網(wǎng)絡(luò)主干位置上的接入訪問控制技術(shù).雖然它既無法滿足對接入用戶溯源唯一性的要求，也無法滿足大型網(wǎng)絡(luò)接入管理靈活性的要求，但它對于網(wǎng)絡(luò)接入訪問的精準控制可以有效地滿足某些特定IP進行某些特定服務(wù)的接入管理要求.因此，ACL也是網(wǎng)絡(luò)接入管理中的一種很有效的輔助手段.

3 Portal認證系統(tǒng)的應(yīng)用

認證系統(tǒng)是為了解決用戶接入網(wǎng)絡(luò)而專門開發(fā)的驗證系統(tǒng)，Portal認證系統(tǒng)則是認證系統(tǒng)中的一種.Portal認證有的資料也稱Web認證，它的基本認證功能是不需要安裝其他客戶端軟件的，客戶端只需要一個瀏覽器就可以實現(xiàn)認證的過程.隨著手機、平板電腦等智能終端的普及，人們對認證過程的便捷化程度也要求越來越高.Portal認證以其便利的操作性和兼容性，已經(jīng)成為校園網(wǎng)建設(shè)的一種主流認證系統(tǒng).

Portal認證系統(tǒng)一般由接入設(shè)備 （包括實體設(shè)備和虛擬設(shè)備）和Portal服務(wù)器兩部分組成，如果想功能更加完善，還可以再加入安全策略服務(wù)器和認證／計費服務(wù)器［3］.在實際部署中，Portal認證系統(tǒng)通常旁路在網(wǎng)絡(luò)主干的某個或多個三層節(jié)點上.未認證用戶在使用瀏覽器訪問網(wǎng)絡(luò)過程中，HTTP請求在經(jīng)過該點的接入設(shè)備時，用戶的訪問地址會被重定向到Portal服務(wù)器的Web認證主頁上.用戶在認證界面中輸入認證信息并提交后，Portal服務(wù)器會對用戶提供的認證信息進行驗證，并將驗證結(jié)果發(fā)回接入設(shè)備，此時接入設(shè)備會再與安全策略服務(wù)器和認證／計費服務(wù)器通信，最后再對用戶發(fā)出的認證請求進行回復(fù).如果認證信息驗證通過，用戶則會按照設(shè)定的安全策略和計費規(guī)則進行通信，反之則回復(fù)用戶認證失敗.

從Portal認證系統(tǒng)的實現(xiàn)原理可以看出，我們在網(wǎng)絡(luò)溯源管理上從原來的對IP地址、MAC地址以及設(shè)備端口的溯源，轉(zhuǎn)移到對認證信息的溯源，也就是對人的溯源.這種溯源管理擺脫了IP、設(shè)備和端口的限制，使網(wǎng)絡(luò)接入管理的部署更加靈活，操作維護也更加簡單便捷.由此看出，Portal認證系統(tǒng)基本上滿足了校園網(wǎng)接入管理的所有要求，是校園網(wǎng)接入管理必備的應(yīng)用系統(tǒng).但是在校園內(nèi)的實際使用中，仍有一些特殊的設(shè)備和使用環(huán)境讓Portal認證系統(tǒng)力不能及，如帶IP接口的網(wǎng)絡(luò)打印機、查詢一體機、硬盤錄像機、錄播主機和實訓(xùn)設(shè)備組成的局域網(wǎng)絡(luò)等.這些特殊的設(shè)備有的是因為沒有瀏覽器，所以不支持Portal認證，有的是因為在使用環(huán)境上不適合使用Portal認證，這就仍需要IP＋MAC和ACL等功能來滿足網(wǎng)絡(luò)接入的安全管理和溯源性要求.所以，從校園網(wǎng)建設(shè)的總體上來看，Portal認證系統(tǒng)仍是解決網(wǎng)絡(luò)接入安全與管理的主要技術(shù)手段，但它仍需要其他技術(shù)手段的輔助管理，兩者互為補充、相輔相成.

4 結(jié)語

在校園信息化建設(shè)過程中，我們對網(wǎng)絡(luò)的配置與規(guī)劃，不但要考慮網(wǎng)絡(luò)所能提供的服務(wù)，也要考慮網(wǎng)絡(luò)接入的安全性和可追溯性.從三種接入管理方式的分析和對比來看，如果想便捷高效地實現(xiàn)校園網(wǎng)的安全接入管理，我們首先需要一套功能完善、操作簡單、部署靈活的認證系統(tǒng)，其次對于有特殊需求的區(qū)域和設(shè)備，我們?nèi)匀恍枰镁珳实募夹g(shù)手段來對其進行限制和定位.科學(xué)技術(shù)是一絲不茍的，我們對待網(wǎng)絡(luò)安全的態(tài)度也應(yīng)該是嚴謹?shù)?，也只有做到對各種應(yīng)用技術(shù)一絲不茍的鉆研，才能承擔起我們對校園信息化建設(shè)安全管理的責任.