摘? 要：隨著現(xiàn)代信息技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展，我國已經(jīng)進(jìn)入信息化時(shí)代。在信息化時(shí)代，高校的校園網(wǎng)絡(luò)建設(shè)獲得了巨大的發(fā)展，但同時(shí)網(wǎng)絡(luò)安全問題也日益凸顯。面對(duì)這樣的形勢，作為高校，必須對(duì)網(wǎng)絡(luò)進(jìn)行精細(xì)化的控制。而要想實(shí)現(xiàn)這一目的，高校管理者應(yīng)借助ACL技術(shù)。文章首先對(duì)ACL技術(shù)進(jìn)行簡單的分析，然后探討高校校園網(wǎng)絡(luò)控制中存在的問題，最后探討基于ACL的高校校園網(wǎng)絡(luò)控制技術(shù)，以供相關(guān)高校參考。

關(guān)鍵詞：ACL;校園網(wǎng)絡(luò);網(wǎng)絡(luò)技術(shù);網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）21-0134-03

Abstract：With the modern information technology，network technology and communication technology development，our country has entered the information age，in the information age，university campus network construction also obtained the huge development，but at the same time，network security problem is increasingly highlighted. In the face of such form，as colleges and universities，we must to control refinement of the network. To achieve this purpose，efficient managers should use ACL technology. This paper analysis of ACL technology is simple，and then discusses the problems existing in the college campus network control，finally discusses the college campus network control technology based on ACL，reference for related colleges and universities.

Keywords：ACL;campus network;network technology;network security

0? 引? 言

近年來，隨著網(wǎng)絡(luò)通信技術(shù)的不斷發(fā)展，在高校校園中，校園網(wǎng)的應(yīng)用范圍不斷擴(kuò)大，逐漸成為教師教學(xué)、辦公以及學(xué)生學(xué)習(xí)的不可或缺的載體，高校師生對(duì)其依賴程度越來越高。在應(yīng)用需求不斷增多的同時(shí)，網(wǎng)絡(luò)安全問題也隨之而來，比如各種病毒肆意傳播、服務(wù)器群遭受攻擊、網(wǎng)絡(luò)資源下載過慢等等，使得原本只需保證基本網(wǎng)絡(luò)流暢的模式已經(jīng)無法滿足實(shí)際的使用需求了。針對(duì)這樣的發(fā)展形勢，高校的校園網(wǎng)管理人員必須采用精細(xì)化的管理方式，更好地控制網(wǎng)絡(luò)的使用需求，從而更好地服務(wù)于高校教師的辦公、教學(xué)和學(xué)生管理工作。而基于ACL技術(shù)的校園網(wǎng)絡(luò)控制技術(shù)，正好能夠滿足高校校園網(wǎng)絡(luò)精細(xì)化控制管理的需求。

1? ACL技術(shù)簡介

ACL是英文單詞Access Control Lists的首字母簡寫，意為訪問控制列表。這種訪問控制列表是通過對(duì)經(jīng)由交換機(jī)或路由器的數(shù)據(jù)流進(jìn)行判斷、分類和過濾的一種技術(shù)。其本質(zhì)是一系列包含著源地址、目的地址以及端口號(hào)等信息語句的集合，其中的每一條語句都可被稱為通信規(guī)則，因?yàn)槠湟?guī)定了對(duì)到達(dá)的數(shù)據(jù)包進(jìn)行處理的動(dòng)作，只有匹配相應(yīng)規(guī)則的數(shù)據(jù)包中的信息，才能通過訪問控制列表訪問相應(yīng)的數(shù)據(jù)信息，否則就會(huì)被拒絕訪問，這樣就能實(shí)現(xiàn)安全控制路由器和網(wǎng)絡(luò)。

ACL訪問控制列表使用的是包過濾技術(shù)。在實(shí)際的運(yùn)行中，通過在交換機(jī)或路由器上讀取網(wǎng)絡(luò)層以及傳輸層報(bào)頭中的端口與地址信息，與預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，從而判斷并過濾訪問的數(shù)據(jù)包。以校園網(wǎng)絡(luò)中的某品牌路由器為例，其ACL工作流程如圖1所示。

從圖1所顯示的流程可以看出：當(dāng)訪問數(shù)據(jù)包到達(dá)校園網(wǎng)交換機(jī)或路由器的接口時(shí)，校園網(wǎng)交換機(jī)或路由器根據(jù)ACL預(yù)設(shè)的訪問控制列表對(duì)訪問的數(shù)據(jù)包進(jìn)行一系列的檢驗(yàn)，如果訪問的數(shù)據(jù)包滿足第一條規(guī)則，就可以根據(jù)該規(guī)則對(duì)數(shù)據(jù)包進(jìn)行允許或拒絕處理;如果不能滿足第一條規(guī)則，則應(yīng)根據(jù)下一條規(guī)則繼續(xù)進(jìn)行判斷，以此類推，直到進(jìn)行到最后一條規(guī)則。如果不能匹配所有預(yù)設(shè)的規(guī)則，或者是滿足規(guī)則之后對(duì)其進(jìn)行拒絕處理，就要將數(shù)據(jù)包進(jìn)行丟棄處理;反之，則是連接到目的接口。但目前，ACL技術(shù)仍存在著一定的局限性，如該技術(shù)無法識(shí)別到具體的人，也無法應(yīng)用內(nèi)部權(quán)限的級(jí)別。

2? ACL技術(shù)的語法結(jié)構(gòu)與特性分析

2.1? ACL技術(shù)的分類

在實(shí)際應(yīng)用中，ACL技術(shù)大致上可以分成兩種模式：一是基本型訪問控制列表，二是擴(kuò)展型訪問控制列表。其中，基本型訪問控制列表僅僅是根據(jù)IP報(bào)文顯示的源地址域與數(shù)據(jù)包進(jìn)行匹配，然后進(jìn)行訪問控制，其功能相對(duì)較弱;而擴(kuò)展型訪問控制列表，一般又被稱為高級(jí)訪問控制列表，能夠根據(jù)IP報(bào)文顯示的更多域，包括源地址域、目的IP地址以及上層協(xié)議信息等不同的域來區(qū)分并判斷數(shù)據(jù)包，然后進(jìn)行不同的處理。

2.2? 擴(kuò)展性ACL技術(shù)的語法結(jié)構(gòu)分析

擴(kuò)展性訪問控制列表的語法結(jié)構(gòu)如下所示：

access-list[access-list number][permit|deny] [protocol][source-address source wildcard][operator port][destination-address destination-wildcard][operator port][established][log]

2.3? 擴(kuò)展性ACL技術(shù)參數(shù)的解釋

access-list number表示訪問列表的范圍：其中number 1到99是標(biāo)準(zhǔn)的列表范圍，而100到199則表示擴(kuò)展的列表范圍;

permit|deny這兩個(gè)參數(shù)分別表示允許數(shù)據(jù)包通過和拒絕數(shù)據(jù)包通過;

protocol這個(gè)參數(shù)表示需要過濾的協(xié)議，比如IP協(xié)議、TCP協(xié)議、UDP協(xié)議、ICMP協(xié)議以及OSPF協(xié)議等;

source—address source—wildcard則表示指定的源地址域和通配符的掩碼;

operator port參數(shù)表示端口的操作符，比如等于eq、大于gt、小于It以及非等于neq等，其中port表示的是端口號(hào);

destination—address destination—wildcard這個(gè)參數(shù)表示目的地址域及其通配符;

established表示允許已經(jīng)建立連接的TCP數(shù)據(jù)包通過;

最后的log則表示匹配時(shí)生成的日志信息。

3? 使用ACL技術(shù)時(shí)應(yīng)遵循的原則

3.1? 最小特權(quán)原則

在使用ACL技術(shù)進(jìn)行網(wǎng)絡(luò)控制時(shí)，首先應(yīng)遵循最小特權(quán)原則，即只給受控制的對(duì)象最小的特權(quán)，讓其能夠完成任務(wù)即可。因?yàn)楸豢刂频目傄?guī)則是所有分規(guī)則的交集，如果只滿足其中一部分條件是無法通過的，只有滿足全部條件的最小特權(quán)，才能在保證完成任務(wù)的前提下避免流量的浪費(fèi)。

3.2? 最靠近受控對(duì)象原則

在使用ACL技術(shù)進(jìn)行網(wǎng)絡(luò)流量控制時(shí)，還必須遵循最靠近受控對(duì)象原則，即在進(jìn)行規(guī)則檢查時(shí)，采用自上而下的方式進(jìn)控制列表中一條一條逐條檢查，只要發(fā)現(xiàn)條件符合的對(duì)象就立刻轉(zhuǎn)發(fā)，不用再繼續(xù)監(jiān)測接下來的語句。

3.3? 默認(rèn)丟棄原則

交換機(jī)或路由交換設(shè)備中一般都是將最后一句默認(rèn)為“DENY ANY ANY”，意為：丟棄所有不符合條件的數(shù)據(jù)包。因此，在使用ACL技術(shù)時(shí)，使用人員如果不進(jìn)行修改，在使用時(shí)必須重視這一點(diǎn)，避免因不注意丟棄重要的數(shù)據(jù)包。

4? 基于ACL的高校校園網(wǎng)絡(luò)控制技術(shù)中的應(yīng)用策略

4.1? 嚴(yán)格控制木馬病毒的網(wǎng)絡(luò)攻擊和傳播

當(dāng)前，隨著各大高校規(guī)模不斷擴(kuò)大，同一高校中不同院系都建設(shè)了自己院系的網(wǎng)絡(luò)主機(jī)，這使得校園網(wǎng)絡(luò)中的主機(jī)數(shù)量越來越多，一旦其中某一臺(tái)主機(jī)感染了病毒，病毒便能夠很容易利用校園網(wǎng)絡(luò)迅速傳播給其他的主機(jī)，或者是肆意攻擊網(wǎng)絡(luò)內(nèi)其他的主機(jī)，這樣就會(huì)導(dǎo)致木馬病毒在校園網(wǎng)絡(luò)中肆意蔓延。根據(jù)研究，一般的木馬病毒，特別是蠕蟲病毒都是利用相應(yīng)端口進(jìn)行攻擊或傳播的，而這些端口一般都集中在66、135、139、445、4444這幾個(gè)端口，所以，在使用ACL技術(shù)進(jìn)行高校校園網(wǎng)絡(luò)控制時(shí)，應(yīng)將其建立在路由交換設(shè)備上，過濾這幾個(gè)端口的數(shù)據(jù)包，將木馬病毒阻止在主機(jī)設(shè)備之外，從而有效避免或降低木馬病毒在校園網(wǎng)絡(luò)中的傳播蔓延和攻擊行為。

4.2? 嚴(yán)格控制服務(wù)器群的服務(wù)

當(dāng)前，各大高校的校園網(wǎng)絡(luò)中都安裝有不同類型的應(yīng)用服務(wù)器，例如DNS服務(wù)器、WWW服務(wù)器、FTP服務(wù)器以及E-mail服務(wù)器等，這些服務(wù)器一般都被劃分在vlanl01中，構(gòu)成服務(wù)器群，以便于更好地為廣大師生提供服務(wù)。因此，這些服務(wù)器也往往是木馬病毒攻擊的重點(diǎn)所在。為了更好地服務(wù)廣大師生，應(yīng)加強(qiáng)這些服務(wù)器群端口的控制管理工作，只開放相應(yīng)的端口提供服務(wù)，關(guān)閉其他不用的端口，這樣就能及時(shí)過濾攔截含有木馬病毒的數(shù)據(jù)包，保障服務(wù)器群的安全性，從而更好地為廣大師生服務(wù)。

4.3? 嚴(yán)格控制上網(wǎng)的時(shí)間

當(dāng)前，各大高校不同的院系都建立了自己的多媒體教室，在教學(xué)中便于學(xué)生的上機(jī)實(shí)踐。但很多時(shí)候，有的院系為了增加自身的利益，在教學(xué)時(shí)間之外也會(huì)開放機(jī)房，讓學(xué)生利用機(jī)房上網(wǎng)，這樣就嚴(yán)重影響到整體校園網(wǎng)絡(luò)的網(wǎng)速。為了避免這一現(xiàn)象的發(fā)生，校園網(wǎng)絡(luò)總機(jī)應(yīng)借助ACL技術(shù)中時(shí)間控制技術(shù)，嚴(yán)格控制各個(gè)院系校園網(wǎng)絡(luò)上網(wǎng)的時(shí)間。例如，根據(jù)各個(gè)院系上機(jī)實(shí)踐課程安排的時(shí)間，分別定義不同院系上機(jī)時(shí)間的范圍，在其沒有上機(jī)實(shí)踐課程時(shí)，不能隨意打開機(jī)房上網(wǎng)。通過這樣嚴(yán)格控制上網(wǎng)的時(shí)間，能有效避免校園網(wǎng)絡(luò)流量的浪費(fèi)，保證各院系機(jī)房上機(jī)實(shí)踐的網(wǎng)速不受影響。

4.4? 嚴(yán)格控制下載的流量

當(dāng)前，各大高校的師生在進(jìn)行網(wǎng)絡(luò)下載時(shí)，一般都是使用IDM、FDM、獵鷹、迅雷極速版以及qBittorrent，這些下載軟件大部分都含有捆綁廣告成分，且在下載的同時(shí)，還會(huì)上傳部分網(wǎng)絡(luò)資源進(jìn)行共享，這樣就會(huì)占據(jù)較多的網(wǎng)絡(luò)流量，一旦下載的人過多，就會(huì)導(dǎo)致校園網(wǎng)網(wǎng)速迅速變慢，甚至還會(huì)出現(xiàn)網(wǎng)頁打不開的現(xiàn)象。而造成這種現(xiàn)象絕大部分的原因都是外部的主機(jī)主動(dòng)鏈接校園網(wǎng)內(nèi)部主機(jī)而產(chǎn)生的流量消耗，因?yàn)檫@些軟件大都是基于TCP協(xié)議而進(jìn)行的。在面對(duì)這種現(xiàn)象時(shí)，就可以基于ACL技術(shù)進(jìn)行反向訪問控制，嚴(yán)格控制外部網(wǎng)絡(luò)的主機(jī)，只允許學(xué)生主動(dòng)用學(xué)生區(qū)域的主機(jī)連接外部主機(jī)進(jìn)行下載，而外部主機(jī)無法主動(dòng)連接學(xué)生區(qū)域的主機(jī)下載資源，這樣不但能節(jié)約校園網(wǎng)的流量，還不會(huì)影響到正常的公共訪問。

5? 結(jié)? 論

綜上所述，本文詳細(xì)分析ACL技術(shù)的原理，并在此基礎(chǔ)上探討了基于ACL的高校校園網(wǎng)絡(luò)控制技術(shù)中的應(yīng)用策略，這僅是筆者的一點(diǎn)個(gè)人淺見，希望能對(duì)相關(guān)高校校園網(wǎng)絡(luò)控制提供參考。當(dāng)然，目前，ACL技術(shù)仍存在一定的不足，但隨著技術(shù)的發(fā)展，ACL技術(shù)會(huì)在高校校園網(wǎng)中發(fā)揮出越來越大的作用，為高校校園網(wǎng)絡(luò)的控制提供更大的方便。

參考文獻(xiàn)：

[1] 劉文.基于智慧校園的高校網(wǎng)絡(luò)安全優(yōu)化分析 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：99+102.

[2] 姚建偉，孫良旭.基于ACL的高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制策略分析 [J].數(shù)碼世界，2017（10）：93-94.

[3] 陳濤.ACL技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（10）：98-99.

[4] 石峰.訪問控制列表ACL在校園網(wǎng)中的作用分析 [J].電腦知識(shí)與技術(shù)，2017，13（33）：70-71+76.

[5] 楊明.ACL技術(shù)在高校校園網(wǎng)安全中的研究及應(yīng)用 [J].信息與電腦（理論版），2016（15）：72-74.

[6] 鄭志凌，李健，胡慶龍.基于ACL的高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制策略研究及應(yīng)用 [J].電腦知識(shí)與技術(shù)，2015，11（2）：55-56.

作者簡介：方暉（1976.05-），男，漢族，廣東惠來人，計(jì)算機(jī)應(yīng)用高級(jí)實(shí)驗(yàn)師，碩士，研究方向：軟件技術(shù)、教育技術(shù)、教學(xué)資源課程建設(shè)、信息網(wǎng)絡(luò)安全。