石峰

摘要：隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)的普及范圍越來越廣，為了順應(yīng)現(xiàn)代化教育改革的需求，網(wǎng)絡(luò)與校際互聯(lián)迅速，校園網(wǎng)提供了校園動態(tài)信息的發(fā)布以及遠(yuǎn)程教學(xué)服務(wù)等，校園網(wǎng)的安全問題便引起了人們的重視。該文對此展開探究，對基于ACL訪問控制列表的校園網(wǎng)安全建設(shè)展開探究，概述了ACL的基本原理與功能，對ACL創(chuàng)建與配置展開詳細(xì)研究，提出了基本創(chuàng)建與配置方法，并介紹了ACL在校園網(wǎng)安全建設(shè)中的實(shí)際應(yīng)用，驗(yàn)證了訪問控制列表ACL在校園網(wǎng)中起到的重要安全防護(hù)作用。

關(guān)鍵詞：ALC；校園網(wǎng)；網(wǎng)絡(luò)安全策略；訪問控制列表

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）33-0070-02

高校校園網(wǎng)安全問題一直以來都受到各界關(guān)注，高校網(wǎng)絡(luò)安全威脅包括病毒入侵、系統(tǒng)漏洞、垃圾信息、惡意破壞、淫穢信息傳播、濫用資源等。高校校園網(wǎng)絡(luò)通常存在操作系統(tǒng)與軟件安全漏洞，對系統(tǒng)用戶的正常使用造成惡劣影響，阻礙了網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，帶來了重大的安全威脅。這些漏洞與威脅如果遭到黑客的惡意使用，就會造成校園網(wǎng)的全面癱瘓，甚至?xí)頌?zāi)難性的破壞。網(wǎng)絡(luò)病毒傳播速度非?？欤绻@網(wǎng)用戶系統(tǒng)沒有安裝相應(yīng)的殺毒軟件，缺少病毒庫的更新，就會造成大量用戶安全信息的泄露，造成網(wǎng)絡(luò)資源的消耗。高校校園網(wǎng)建設(shè)中，網(wǎng)絡(luò)使用初期往往并不會出現(xiàn)問題，而隨著學(xué)生數(shù)量的增多，校園內(nèi)部的網(wǎng)絡(luò)運(yùn)行速度就會有所降低，而通過在路由器上設(shè)置一道使用網(wǎng)絡(luò)層的ACL訪問控制列表，就能夠有效解決這些問題。

1 ACL概述

訪問控制列表（Access Control List，ACL）由路由器與交換機(jī)接口共同組成，通過構(gòu)建一項(xiàng)指令列表，對端口進(jìn)入的數(shù)據(jù)包進(jìn)行安全把控?，F(xiàn)階段訪問控制列表受到所有路由協(xié)議支持，包括IP、IPX、AppleTalk等。從通信安全的角度來看，信息點(diǎn)之間的通信安全性決定了網(wǎng)內(nèi)的安全性，所以對網(wǎng)內(nèi)的安全保護(hù)必須從數(shù)據(jù)訪問范圍入手。通過構(gòu)建與實(shí)施安全方案對未經(jīng)授權(quán)的用戶加以限制訪問，進(jìn)而達(dá)到阻絕未經(jīng)授權(quán)用戶的目的，而該類用戶只能夠訪問個別特定網(wǎng)絡(luò)資源，對于網(wǎng)內(nèi)形成一種訪問控制。從流量過濾的角度來說，ACL就是用以過濾網(wǎng)絡(luò)流量的特殊技術(shù)手段，其特有配置能夠?qū)W(wǎng)絡(luò)流量起到限制作用，并決定其訪問權(quán)限，或允許訪問特定資源，或允許特定設(shè)備訪問網(wǎng)內(nèi)，通過制定與轉(zhuǎn)發(fā)端口數(shù)據(jù)包，實(shí)現(xiàn)對外部設(shè)備的訪問控制。從配置途徑來看，訪問控制列表可以配置在路由器上，也可以配置在特定軟件商，比如具有ACL功能的業(yè)務(wù)軟件等。ACL是目前重要的系統(tǒng)安全保護(hù)技術(shù)，被廣泛應(yīng)用于物聯(lián)網(wǎng)，能夠有效防止非法設(shè)備對系統(tǒng)的破壞，防止非法獲取內(nèi)網(wǎng)資源。

1.1 基本原理

訪問控制列表主要采用了數(shù)據(jù)包過濾技術(shù)，對數(shù)據(jù)包信息進(jìn)行全面詳細(xì)的獲取，主要包括源地址、目的地址、目的端口等。ACL配置中會事先設(shè)定相應(yīng)規(guī)則，訪問控制列表根據(jù)規(guī)則過濾數(shù)據(jù)包，不符合規(guī)則直接予以限制訪問，達(dá)到控制訪問的目標(biāo)。數(shù)據(jù)包進(jìn)入到路由器時，路由器會判斷數(shù)據(jù)包的源地址，如果其源地址是可路由的，則進(jìn)行下一步操作，如果不是可路由的，則直接放入垃圾桶中；隨后，由路由器在訪問控制列表中尋找入口，沒有找到入口則說明不符合規(guī)則，直接放入垃圾桶；如果能夠找到則進(jìn)入下一步；隨后，再選擇路由器接口，進(jìn)入接口之后使用ACL，觸動包過濾技術(shù)，根據(jù)路由器上讀取的包頭信息，與事先設(shè)定的控制規(guī)則進(jìn)行比較，濾除所有不滿足規(guī)則的數(shù)據(jù)。

1.2 配置原則

配置ACL通常要遵循以下基本原則：

1） 最小特權(quán)原則：即要求只給予受控對象完成任務(wù)的最小權(quán)限；

2） 最靠近原則：即所有的網(wǎng)絡(luò)層訪問權(quán)限控制要盡量距離受控對象最近；

3） 默認(rèn)丟棄原則：每個訪問控制列表的最后一個隱藏規(guī)則為deny any any。

具體根據(jù)不同設(shè)備對ACL技術(shù)的支持與配置，會有一些區(qū)別，而這些區(qū)別往往對于網(wǎng)絡(luò)安全策略的配置效率很重要。

1.3 ACL分類

前階段主要有三種ACL：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名ACL。目前有的地方也會結(jié)合實(shí)際需求使用一些特殊ACL，比如以太協(xié)議ACL等。其中，常見的標(biāo)準(zhǔn)ACL標(biāo)號為1-99的數(shù)字，擴(kuò)展ACL則為100-199。通過配置標(biāo)準(zhǔn)ACL能夠起到對特定網(wǎng)絡(luò)全部流量包的限制，或者限制某協(xié)議族的全部通信流量包。相比較而言，擴(kuò)展ACL的控制范圍更大，換句話說就是對訪問控制更準(zhǔn)確，比如可以選擇允許外來Web通信流量通過，但拒絕外來FTP通信流量的通過，從而達(dá)到實(shí)用的控制目的。而命名ACL則是將列表名稱用于ACL的編號定義，一般也有標(biāo)準(zhǔn)與擴(kuò)展兩種形式，可以對列表中個別的項(xiàng)目進(jìn)行刪除，也就是便于列表修改。

比較三者的區(qū)別，在標(biāo)準(zhǔn)ACL與擴(kuò)展ACL中，都要用到表號，但是在命名訪問控制列表中，使用一個字母或數(shù)字組合的字符串可以代替前面使用的數(shù)字。命名訪問控制列表可以刪除特定的控制條目，這樣就能夠滿足使用過程中的適當(dāng)修改。一般在使用命名訪問控制列表時，要求路由器IOS版本在11.2以上，而且不能用同一個名字命名數(shù)個ACL，且不同類型的ACL也不能使用同一個名字。

1.4 基于時間的ACL

在一所高校內(nèi)，如果學(xué)校希望在某一個特定的時間范圍內(nèi)限定學(xué)生訪問某特定網(wǎng)頁，只有在制定的時間才可以訪問該網(wǎng)頁，那么就可以充分利用ACL技術(shù)，配置一種基于時間的訪問控制列表，在特定時間范圍內(nèi)實(shí)現(xiàn)對訪問的限制。這一過程中，需要做的是為設(shè)備配置比較精準(zhǔn)的時間，則ACL會在規(guī)定時間內(nèi)實(shí)施服務(wù)。基于時間的ACL主要受指令控制，但是在此基礎(chǔ)上同時接受時間限制控制，除了列表規(guī)則外，還需要加設(shè)一個時間限制，因?yàn)檎Ｅ渲煤蟛捎玫哪J(rèn)所有時間允許訪問的。通過對命令加設(shè)時間限制，就能讓該ACL命令在規(guī)定時間內(nèi)生效。

2 ACL創(chuàng)建與配置

2.1 標(biāo)準(zhǔn)訪問控制列表配置

①創(chuàng)建訪問控制列表

router（config）#access-list 1 deny 172.16.4.13 0.0.0.0

拒絕來自主機(jī)172.16.4.13的數(shù)據(jù)包。其中的1表示這是一個標(biāo)準(zhǔn)的訪問控制列表。

也可用命令 access-list 1 deny host 172.16.4.13

router（config）#access-list 1 permit 172.16.0.0 0.0.255.255

允許網(wǎng)絡(luò)172.16.0.0的所有流量通過。

router（config）#access-list 1 permit any

允許任何流量通過。

②應(yīng)用到接口進(jìn)方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-group 1 in

把這個ACL綁定到接口F0/0進(jìn)的方向上。

③刪除一個訪問控制列表

首先在接口模式下輸入命令：no ip access-group

然后在全局模式下輸入命令：no access-list

2.2 擴(kuò)展訪問控制列表配置

①創(chuàng)建拒絕來自172.16.4.0 去往172.16.3.0 的FTP流量ACL

router（config）#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

router（config）#access-list 101 permit ip any any

②創(chuàng)建拒絕來自172.16.4.0 去往 172.16.3.0 的TELNET 流量的ACL

router（config）#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23

router（config）#access-list 101 permit ip any any

③創(chuàng)建拒絕主機(jī)192.168.1.1 到主機(jī) 192.168.1.254 的 icmp

router（config）#access-list 101 deny icmp host 192.168.1.1 host 192.168.1.254

router（config）#access-list 101 permit ip any any

④應(yīng)用到接口進(jìn)的方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-list 101 in

2.3 命名訪問控制列表配置

①訪問控制列表的命名

router（config）#ip access-list {standard | extended} name

router（config）#{permit | deny} {source [source-wildcard]|any} {test conditions}

這里test conditions 的使用可以參考標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中相應(yīng)的內(nèi)容。

②命名訪問控制列表的應(yīng)用

a.創(chuàng)建名為cisco的訪問控制列表

router（config）#ip access-list extended cisco

b.拒絕主機(jī)192.168.3.1 去往 192.168.3.254 的遠(yuǎn)程桌面

router（config-ext-nacl）#deny tcp host 192.168.3.1 host 192.168.3.254 eq 3389

router（config-ext-nacl）#permit ip any any

c.應(yīng)用到接口進(jìn)方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-group cisco in

③查看ACL列表

router#show ip interface fastethernet 0/0

router#show access-list

router#show running-config

3 ACL在校園網(wǎng)中的應(yīng)用

將ACL應(yīng)用于某高校網(wǎng)絡(luò)結(jié)構(gòu)體的一部分，主要包括了教師辦公室、服務(wù)器機(jī)房、學(xué)生實(shí)驗(yàn)室。如1圖所示。網(wǎng)絡(luò)全部采用24位子網(wǎng)掩碼。

如圖所示，路由器通過以太網(wǎng)端口E0連接教師辦公室；通過端口S0連接校園網(wǎng)；通過端口E1連接服務(wù)器機(jī)房；通過端口E2連接學(xué)生實(shí)驗(yàn)室。針對該部分網(wǎng)絡(luò)結(jié)構(gòu)中，教師辦公室、服務(wù)器機(jī)房、學(xué)生實(shí)驗(yàn)室分別對網(wǎng)絡(luò)與數(shù)據(jù)安全的要求不同，應(yīng)當(dāng)分別構(gòu)建網(wǎng)絡(luò)安全策略。

對于教師辦公室，理論上主機(jī)中通常會存放一些敏感數(shù)據(jù)，比如重要測試試卷等，避免學(xué)生實(shí)驗(yàn)室對其訪問；而反過來，學(xué)生實(shí)驗(yàn)室中的表現(xiàn)，在實(shí)驗(yàn)室計(jì)算機(jī)上的操作情況、實(shí)驗(yàn)情況，教師應(yīng)當(dāng)予以適當(dāng)管理與監(jiān)控，所以要采用單向控制標(biāo)準(zhǔn)。當(dāng)TCP連接時，路由器E2端口檢查數(shù)據(jù)表，如果確認(rèn)通過則數(shù)據(jù)包通過，如果學(xué)生實(shí)驗(yàn)室主機(jī)向教師辦公室主機(jī)網(wǎng)段發(fā)起TCP連接數(shù)據(jù)包，則表示不確認(rèn)，也就是拒絕通過，由此以來就能夠防止學(xué)生對教師敏感資料的訪問。

對于學(xué)生實(shí)驗(yàn)室，要求可以訪問較多的資源，比如允許學(xué)生訪問電影資源、音樂資源、游戲資源，但是鑒于實(shí)驗(yàn)室作為學(xué)習(xí)場所，應(yīng)當(dāng)禁止上課期間學(xué)生對該類娛樂資源進(jìn)行訪問。也就是禁止學(xué)生訪問FTP服務(wù)，但是可以訪問WWW服務(wù)。比如QQ游戲等應(yīng)用，查找因特網(wǎng)提供QQ游戲的服務(wù)器IP，采用ACL命令禁止實(shí)驗(yàn)室網(wǎng)段與該類IP服務(wù)器的網(wǎng)絡(luò)連接，就能防止學(xué)生上課時間訪問游戲資源。

4 結(jié)束語

綜合全文，通過對ACL訪問控制列表的合理配置，在校園網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部建立起了安全的網(wǎng)絡(luò)體系，可以在一定程度上提高網(wǎng)絡(luò)的安全性。通過對ACL技術(shù)在校園網(wǎng)中的應(yīng)用，能夠?qū)崿F(xiàn)對特定網(wǎng)頁數(shù)據(jù)信息的安全保護(hù)，避免外來訪問對校園網(wǎng)數(shù)據(jù)安全帶來威脅。但是總的來說，ACL過濾的包頭信息也比較局限，如果運(yùn)行不當(dāng)也可能造成資源浪費(fèi)，所以還應(yīng)當(dāng)結(jié)合實(shí)際情況適當(dāng)使用ACL技術(shù)，確保在保障網(wǎng)絡(luò)安全的前提下，充分提高網(wǎng)絡(luò)服務(wù)效率。

參考文獻(xiàn)：

[1] 孔曉宇.基于ACL訪問控制列表的機(jī)房上網(wǎng)管理[J].電腦知識與技術(shù)：學(xué)術(shù)交流，2010，06（27）：7476-7477.

[2] 曹世華，沈惠惠.訪問控制列表在校園網(wǎng)安全管理的應(yīng)用[J].科技、經(jīng)濟(jì)、市場，2007（11）：123.