訪問控制列表在校園網(wǎng)絡(luò)安全中的應(yīng)用探討

銀少海

（呼和浩特職業(yè)學(xué)院 內(nèi)蒙古 010051）

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，在一定程度上也給人們的工作生活等帶來了安全隱患，現(xiàn)在社會中，所有網(wǎng)絡(luò)用戶都應(yīng)該時(shí)刻注意網(wǎng)絡(luò)安全問題，高校也是一樣。路由器是連接互聯(lián)網(wǎng)和局域網(wǎng)的重要設(shè)備，但是絕大部分人都只認(rèn)識到它最基本的功能——路由，不知道它不僅可以是傳輸數(shù)據(jù)用的，它還可以通過設(shè)置訪問控制列表來進(jìn)行安全的防護(hù)工作，這是抵御網(wǎng)絡(luò)攻擊的一個(gè)非常重要的控制策略。

1 訪問控制列表的作用和分類

首先，訪問控制列表的作用可以應(yīng)用到限制網(wǎng)絡(luò)流，提高網(wǎng)絡(luò)性能上。舉例來說，網(wǎng)絡(luò)中的信息是由數(shù)據(jù)包組成的，訪問控制列表就是通過指定數(shù)據(jù)包來進(jìn)行優(yōu)先級劃分。其次，訪問控制列表可以對通信流進(jìn)行控制。比如，訪問控制列表可以通過對路由信息的長度進(jìn)行簡化或是限定，使想要通過此網(wǎng)絡(luò)層的通訊流量被限制住。再次，訪問控制列表在網(wǎng)絡(luò)安全訪問中也起到了重要的作用，比如，在局域網(wǎng)中，通過訪問控制列表來對特定的網(wǎng)絡(luò)資源進(jìn)行設(shè)置，只允許一臺主機(jī)或網(wǎng)絡(luò)能夠進(jìn)行訪問，其他主機(jī)或網(wǎng)絡(luò)用戶則無權(quán)進(jìn)入訪問資源。最后，在所有的信息流量中訪問控制列表能夠通過網(wǎng)絡(luò)層設(shè)備的端口來進(jìn)行處理哪些是可以通過的通信流，哪些是被阻擋在外的。比如，用戶在訪問控制列表中設(shè)定了允許E-MALI通信流能夠通過路由，而所有的TENLET通信流都被設(shè)置為拒絕通過。

訪問列表是分為兩種的，一種是標(biāo)準(zhǔn)訪問列表，另一種是拓展訪問列表。其中，標(biāo)準(zhǔn)訪問列表的功能是十分有限的，它只允許被過濾源地址。而擴(kuò)展的訪問列表在功能上就比標(biāo)準(zhǔn)訪問列表多出好多，不僅能夠允許過濾源地址，還能對目的地址和上層應(yīng)用數(shù)據(jù)進(jìn)行相關(guān)檢測。

Cics路由器在對訪問列表上有著領(lǐng)先技術(shù)，它是從IOS12.0開始就能根據(jù)時(shí)間來進(jìn)行設(shè)置訪問列表，可以在一天的不同時(shí)間段或是一個(gè)星期中的不同日期來對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行控制轉(zhuǎn)發(fā)。加入時(shí)間的訪問列表是在標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表的基礎(chǔ)上來進(jìn)行的，是通過有效的時(shí)間來對網(wǎng)絡(luò)控制做到更合理，更有效。擁有時(shí)間的訪問列表也是需要擁有原先訪問列表這一基礎(chǔ)的，是需要預(yù)先設(shè)定的時(shí)間范圍才能應(yīng)用起來的。

2 訪問控制列表在校園網(wǎng)絡(luò)安全網(wǎng)中的應(yīng)用

在網(wǎng)絡(luò)安全的建設(shè)中，網(wǎng)絡(luò)安全工程師為了確保網(wǎng)絡(luò)能夠在安全的環(huán)境下工作，在實(shí)際的建設(shè)中，是需要根據(jù)各單位的網(wǎng)絡(luò)安全中的具體需求來進(jìn)行工作的，在相關(guān)的設(shè)備中建立各種復(fù)雜的訪問控制列表，并巧妙的將其結(jié)合起來使用。在校園網(wǎng)的管理中，網(wǎng)絡(luò)安全不僅僅是對簡單的木馬，病毒來進(jìn)行防護(hù)，更多的是要結(jié)合高校自身的特點(diǎn)，根據(jù)不同的需求來對網(wǎng)絡(luò)安全進(jìn)行設(shè)置，網(wǎng)絡(luò)管理員可以通過對校園網(wǎng)的了解及日常工作中遇到的問題在網(wǎng)絡(luò)設(shè)備上設(shè)置相應(yīng)的訪問控制列表，這樣人為的控制安全策略能夠起到一定的約束效果。舉例來說：

2.1 限制學(xué)生訪問的網(wǎng)絡(luò)資源

在校園網(wǎng)中，需要注意的是學(xué)生非法訪問網(wǎng)絡(luò)資源，有些計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)的好的學(xué)生可能會惡意攻擊學(xué)校中的網(wǎng)絡(luò)設(shè)備或是服務(wù)器等，所以在校園網(wǎng)的安全防護(hù)上要設(shè)置合理，穩(wěn)妥的訪問控制列表來限制學(xué)生所用的網(wǎng)段對校園網(wǎng)的服務(wù)器進(jìn)行訪問，如果學(xué)生所用的網(wǎng)段為192.168.1.100/22，校園網(wǎng)中其他用戶的網(wǎng)段為192.168.0.100/22，那么為了防止學(xué)生對校園服務(wù)器進(jìn)行惡意攻擊的同時(shí)又不妨礙其他用戶的正常工作，這就可以在相關(guān)的網(wǎng)絡(luò)設(shè)備中設(shè)置應(yīng)用訪問控制列表權(quán)限。

Router（config）#access-1ist 1 deny 192.168.1.0 0.0.0.255

Router（config）#access-1ist 1 permit any

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 1 in

在高校中，教室和實(shí)驗(yàn)室是學(xué)生駐留時(shí)間最久的地方，是給學(xué)生學(xué)習(xí)和做實(shí)驗(yàn)的場所，在休息時(shí)間段里，要確保學(xué)生能夠真正放松去休息，學(xué)習(xí)時(shí)間能夠認(rèn)真學(xué)習(xí)，擁有良好的自律意識，不去做一些與學(xué)習(xí)無關(guān)的事或是妨礙休息時(shí)間的事情，比如通過網(wǎng)絡(luò)聊天工具進(jìn)行聊天，玩大型的網(wǎng)絡(luò)游戲等。這時(shí)就需要運(yùn)用到訪問控制列表來對相應(yīng)的網(wǎng)絡(luò)設(shè)備中進(jìn)行網(wǎng)絡(luò)限制。假如能夠進(jìn)行各種網(wǎng)絡(luò)游戲，視頻及聊天的資源都在校園網(wǎng)中網(wǎng)段為192.168.2.0的FTP服務(wù)器上，學(xué)生所用的網(wǎng)段則是192.168.3.0時(shí)，如何采用訪問控制列表來限制其進(jìn)行相關(guān)操作就需要通過以下配置來實(shí)現(xiàn)：

Router（config）#access-1ist 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww

Router（config）#access-1ist 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp

Router（config）#access-1ist 102 permit ip any any Router（config）#int E1

Router（config）#ip access-group 102 out

2.2 網(wǎng)絡(luò)管理員需要遠(yuǎn)程控制

在校園網(wǎng)絡(luò)的安全管理中，由于校園網(wǎng)的鋪蓋面積較廣，所以在網(wǎng)絡(luò)管理及設(shè)備管理上能達(dá)到快捷方便，就需要網(wǎng)絡(luò)管理員建立一個(gè)遠(yuǎn)程登錄平臺，通過遠(yuǎn)程控制的方法對校園里所有的路由器及交換機(jī)、防火墻進(jìn)行安全設(shè)置，制訂出網(wǎng)絡(luò)安全策略，并且這個(gè)登錄平臺是其他人員無法登錄和訪問的，只有特定的網(wǎng)絡(luò)IP地址才能對其進(jìn)行訪問登錄。假設(shè)網(wǎng)絡(luò)所處網(wǎng)段為10.1.100.0，管理網(wǎng)段是10.1.300.0，如何在相關(guān)的網(wǎng)絡(luò)設(shè)備中進(jìn)行訪問就需要采用以下訪問控制策略，通過運(yùn)用到相關(guān)接口上來允許管理網(wǎng)段對其進(jìn)行訪問。

Router（config）#access-1ist 101

permit ip 10.1.300.0 0.0.0.255 10.1.100.0 0.0.0.255

Router（config）#access-1ist 101 deny ip any 10.1.100.0 0.0.0.255

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 101 in

2.3 學(xué)生宿舍限制上網(wǎng)時(shí)段

上述中我們到Cics路由器從IOS12.0版本開始就已經(jīng)可以通過定時(shí)來設(shè)置訪問控制列表，在高校中，學(xué)生上網(wǎng)時(shí)段是需要進(jìn)行嚴(yán)格控制的，這就需要通過這一列表來對其進(jìn)行控制，假如校園網(wǎng)中能允許學(xué)生上網(wǎng)的時(shí)間是每天的7：00到23：00，那么可以在相關(guān)設(shè)備上進(jìn)行如下的配置：

C6509-CENTER（config）# time-range stu_dom

C6509-CENTER（config-time）# periodic dai1y 7：00 to 23：00 //定義時(shí)間范圍

C6509-CENTER（config）# access-1ist 111 permit ip any any time-range stu_dom

C6509-CENTER（config）# int v1an 50 //

進(jìn)入 v1an 50C6509-CENTER（config-if）# ip access-group 111 in

3 結(jié)束語

在校園網(wǎng)中，網(wǎng)絡(luò)管理員有效的應(yīng)用訪問控制列表，可以使校園網(wǎng)絡(luò)的安全性得到很大的提高，但是需要明確一點(diǎn)，就是防火墻的作用也是至關(guān)重要的，不能因?yàn)樵O(shè)置了訪問控制列表就忽視了防火墻的設(shè)置，要兩者相結(jié)合才能使校園網(wǎng)絡(luò)更加的安全。

[1]劉璨.訪問控制列表在校園網(wǎng)的應(yīng)用[J].東莞理工學(xué)院學(xué)報(bào).2010.

[2]王尊.訪問控制列表在高校校園網(wǎng)絡(luò)安全中的應(yīng)用[J].電子世界.2014.