姚建偉 孫良旭（指導(dǎo)教師） 遼寧科技大學(xué)

基于ACL的高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制策略分析

姚建偉 孫良旭（指導(dǎo)教師） 遼寧科技大學(xué)

ACL（Access Control List）即訪問控制列表，它是指路由器與交換機(jī)接口的指令列表，專門用來控制路由器與交換機(jī)端口進(jìn)出的數(shù)據(jù)包。為了穩(wěn)定擴(kuò)大網(wǎng)絡(luò)規(guī)模，優(yōu)化安全使用狀況，增加網(wǎng)絡(luò)流量，當(dāng)前高校校園網(wǎng)就在使用ACL應(yīng)用技術(shù)，利用它的數(shù)據(jù)包判斷、分類與過濾能力來優(yōu)化網(wǎng)絡(luò)流量安全控制過程。文中簡(jiǎn)要探討了ACL技術(shù)在高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制方面的基本作用與相關(guān)策略。

ACL 高校校園網(wǎng) 網(wǎng)絡(luò)流量安全控制策略 作用

當(dāng)前高校校園網(wǎng)網(wǎng)絡(luò)流量的主要構(gòu)成就包括了HTTP、P2P和對(duì)等網(wǎng)流量3種類型，它們保證校園網(wǎng)始終以數(shù)字信息平臺(tái)作為基本載體，推動(dòng)了校園內(nèi)網(wǎng)絡(luò)信息資源與教學(xué)資源的互動(dòng)與共享進(jìn)程。而ACL技術(shù)的加入則對(duì)校園路由器訪問控制列表進(jìn)行了新一輪的改善，它重新設(shè)置了路由器與交換機(jī)出入口的訪問規(guī)則，對(duì)校園網(wǎng)絡(luò)安全管理實(shí)施了合理化把控。

1 、ACL技術(shù)在高校校園網(wǎng)流量安全控制中的實(shí)際作用分析

ACL主要經(jīng)過交換機(jī)、路由器等設(shè)備來實(shí)現(xiàn)數(shù)據(jù)包訪問控制列表設(shè)置，對(duì)其中的判斷語(yǔ)句進(jìn)行有效匹配。當(dāng)匹配符合以后，列表就會(huì)自動(dòng)忽略后面語(yǔ)句，這代表語(yǔ)句已經(jīng)通過訪問。而如果不匹配，則要繼續(xù)通過訪問列表進(jìn)行后續(xù)匹配，不匹配的數(shù)據(jù)包則會(huì)被淘汰，如圖1。

圖1 ACL的實(shí)際工作流程示意圖

目前在高校校園網(wǎng)流量安全控制體系中擁有3種ACL技術(shù)，它們分別負(fù)責(zé)對(duì)標(biāo)準(zhǔn)數(shù)據(jù)包源地址的檢查、對(duì)數(shù)據(jù)包源地址與目標(biāo)地址的擴(kuò)展，以及對(duì)數(shù)據(jù)包源地址與目標(biāo)地址的時(shí)間控制，進(jìn)而達(dá)成對(duì)上網(wǎng)有效時(shí)間的控制。這些功能在高校校園流量安全管控方面都具有重要的實(shí)踐價(jià)值。除此之外，ACL技術(shù)在高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制方面還存在3點(diǎn)作用。

第一，它能夠保障校園網(wǎng)在實(shí)際運(yùn)行使用過程中的安全性，避免外來病毒與木馬的侵入。當(dāng)前對(duì)高校校園網(wǎng)威脅最大的無疑是網(wǎng)絡(luò)病毒，而通過ACL技術(shù)則可以實(shí)現(xiàn)對(duì)不安全網(wǎng)絡(luò)地址、包括網(wǎng)絡(luò)端口、交換機(jī)端口與路由器端口的封鎖，全面實(shí)現(xiàn)網(wǎng)絡(luò)安全維護(hù)目標(biāo)。

第二，它能夠優(yōu)化校園網(wǎng)網(wǎng)絡(luò)流量使用。現(xiàn)如今，ACL技術(shù)可以允許校園網(wǎng)內(nèi)部主機(jī)與外網(wǎng)主機(jī)相互連接，但嚴(yán)禁外網(wǎng)主機(jī)主動(dòng)與內(nèi)網(wǎng)主機(jī)連接，這也是為了控制校園網(wǎng)大量帶寬與資源內(nèi)容，控制費(fèi)學(xué)習(xí)與教學(xué)活動(dòng)網(wǎng)絡(luò)資源在校園網(wǎng)內(nèi)部的傳播過程，這也是對(duì)校園內(nèi)網(wǎng)絡(luò)流量的間接控制，保證校園網(wǎng)網(wǎng)絡(luò)流量資源的合理分配與優(yōu)化應(yīng)用。

第三，它能夠合理控制大學(xué)生用戶的上網(wǎng)時(shí)間。目前大學(xué)生是我國(guó)網(wǎng)絡(luò)用戶的主力群體，他們對(duì)于網(wǎng)絡(luò)的依賴最為嚴(yán)重，在自我約束與限制能力方面表現(xiàn)較差。所以高校采用ACL技術(shù)也是為了對(duì)校園網(wǎng)用戶上網(wǎng)時(shí)間采取強(qiáng)制控制，包括對(duì)地點(diǎn)與信息內(nèi)容的強(qiáng)制性管控，保證大學(xué)生健康上網(wǎng)。

2 、ACL技術(shù)在高校校園網(wǎng)流量安全控制中的策略分析

當(dāng)前高校校園網(wǎng)發(fā)展迅速，信息化建設(shè)進(jìn)程已經(jīng)大行其道，像智慧校園、移動(dòng)校園等等全新校園網(wǎng)理念已經(jīng)逐漸滲透，而大學(xué)生網(wǎng)民無論是學(xué)習(xí)還是娛樂、交流對(duì)于校園網(wǎng)網(wǎng)絡(luò)的依賴都越來越大。為此，基于ACL技術(shù)的流量安全控制策略提出是有必要的，為此本文也論述了以下兩點(diǎn)策略。

2.1 對(duì)外來黑客病毒傳播與入侵的防范

當(dāng)前外來黑客病毒對(duì)于Windows系統(tǒng)的漏洞攻擊相當(dāng)猛烈，嚴(yán)重時(shí)甚至?xí)?dǎo)致網(wǎng)絡(luò)癱瘓與宕機(jī)，一般被病毒程序掃描的UDP端口就包括了135、138、445、1434等等，而TCP端口方面則包括了135、137、138、139、4444、9995等等，這些端口非常容易被識(shí)別且被攻擊。而基于ACL技術(shù)對(duì)端口配置deny語(yǔ)句就可以阻止病毒傳播，包括實(shí)現(xiàn)對(duì)于ICMP數(shù)據(jù)包的有效過濾，再通過PING命令來探測(cè)主機(jī)中所有的在線病毒程序。一般來說可能會(huì)出現(xiàn)PING不通狀況，它也能夠在一定程度上降低網(wǎng)絡(luò)中毒概率，它的具體配置如下：

Access-list 199 deny tcp any eq 136

如果在病毒掃描端口識(shí)別病毒過程中病毒的種類不斷演變進(jìn)化，則還可以基于ACL技術(shù)來定期優(yōu)化防毒策略，將其配置于本地網(wǎng)絡(luò)中。但需要注意的是，絕對(duì)不能抄襲其他配置規(guī)則，這樣可能會(huì)引發(fā)ACL技術(shù)的失效，無法實(shí)現(xiàn)網(wǎng)絡(luò)流量安全控制。

2.2 對(duì)網(wǎng)絡(luò)流量的有效控制

目前像迅雷、QQ下載、網(wǎng)盤等等是比較流行的P2P下載工具，它們?cè)趲捳加梅矫嬉草^高，容易導(dǎo)致網(wǎng)絡(luò)緩慢。ACL需要掌握這些P2P軟件的端口號(hào)，例如迅雷的常用端口號(hào)就是3076和3078，運(yùn)用ACL技術(shù)對(duì)迅雷軟件實(shí)施點(diǎn)對(duì)點(diǎn)控制，設(shè)置高校校園網(wǎng)的正常辦公時(shí)間段，例如從上午8點(diǎn)～下午4點(diǎn)為辦公時(shí)段，該時(shí)段要保證辦公軟件、教學(xué)資源數(shù)據(jù)等等關(guān)鍵應(yīng)用及內(nèi)容的正常使用，所以可以為其配置ACL安全控制策略：

Route（config）#absoulute start 0:00 day1 end 23:59 day2 perildic weekday 8:00 to 16:00.

而學(xué)生網(wǎng)絡(luò)使用的專用安全控制策略則設(shè)置為：

Access-list 199 deny ip tcp any eq 6890.

如此一來，就能保證高校校園網(wǎng)在辦公時(shí)間段的關(guān)鍵應(yīng)用不受影響，同時(shí)也控制了學(xué)生網(wǎng)段的網(wǎng)絡(luò)流量與上網(wǎng)時(shí)間。

總而言之，高校校園網(wǎng)網(wǎng)絡(luò)流量控制工作是相當(dāng)繁瑣且系統(tǒng)的，基于ACL的技術(shù)內(nèi)容為這一控制工作提供了合理的出口流量參考、病毒防控與網(wǎng)絡(luò)帶寬分配機(jī)制，保證了高校校園網(wǎng)的網(wǎng)絡(luò)服務(wù)質(zhì)量。

[1]鄭志凌,李健,胡慶龍等.基于ACL的高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制策略研究及應(yīng)用[J].電腦知識(shí)與技術(shù),2015(2):55-56.

[2]閆國(guó)棟.ACL技術(shù)在路由安全中的應(yīng)用[J].信息通信,2015(8):83-83,84.