訪問(wèn)控制列表ACL在校園網(wǎng)中的作用分析

石峰

摘要：隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)的普及范圍越來(lái)越廣，為了順應(yīng)現(xiàn)代化教育改革的需求，網(wǎng)絡(luò)與校際互聯(lián)迅速，校園網(wǎng)提供了校園動(dòng)態(tài)信息的發(fā)布以及遠(yuǎn)程教學(xué)服務(wù)等，校園網(wǎng)的安全問(wèn)題便引起了人們的重視。該文對(duì)此展開(kāi)探究，對(duì)基于ACL訪問(wèn)控制列表的校園網(wǎng)安全建設(shè)展開(kāi)探究，概述了ACL的基本原理與功能，對(duì)ACL創(chuàng)建與配置展開(kāi)詳細(xì)研究，提出了基本創(chuàng)建與配置方法，并介紹了ACL在校園網(wǎng)安全建設(shè)中的實(shí)際應(yīng)用，驗(yàn)證了訪問(wèn)控制列表ACL在校園網(wǎng)中起到的重要安全防護(hù)作用。

關(guān)鍵詞：ALC；校園網(wǎng)；網(wǎng)絡(luò)安全策略；訪問(wèn)控制列表

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）33-0070-02

高校校園網(wǎng)安全問(wèn)題一直以來(lái)都受到各界關(guān)注，高校網(wǎng)絡(luò)安全威脅包括病毒入侵、系統(tǒng)漏洞、垃圾信息、惡意破壞、淫穢信息傳播、濫用資源等。高校校園網(wǎng)絡(luò)通常存在操作系統(tǒng)與軟件安全漏洞，對(duì)系統(tǒng)用戶的正常使用造成惡劣影響，阻礙了網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，帶來(lái)了重大的安全威脅。這些漏洞與威脅如果遭到黑客的惡意使用，就會(huì)造成校園網(wǎng)的全面癱瘓，甚至?xí)?lái)災(zāi)難性的破壞。網(wǎng)絡(luò)病毒傳播速度非?？?，如果校園網(wǎng)用戶系統(tǒng)沒(méi)有安裝相應(yīng)的殺毒軟件，缺少病毒庫(kù)的更新，就會(huì)造成大量用戶安全信息的泄露，造成網(wǎng)絡(luò)資源的消耗。高校校園網(wǎng)建設(shè)中，網(wǎng)絡(luò)使用初期往往并不會(huì)出現(xiàn)問(wèn)題，而隨著學(xué)生數(shù)量的增多，校園內(nèi)部的網(wǎng)絡(luò)運(yùn)行速度就會(huì)有所降低，而通過(guò)在路由器上設(shè)置一道使用網(wǎng)絡(luò)層的ACL訪問(wèn)控制列表，就能夠有效解決這些問(wèn)題。

1 ACL概述

訪問(wèn)控制列表（Access Control List，ACL）由路由器與交換機(jī)接口共同組成，通過(guò)構(gòu)建一項(xiàng)指令列表，對(duì)端口進(jìn)入的數(shù)據(jù)包進(jìn)行安全把控。現(xiàn)階段訪問(wèn)控制列表受到所有路由協(xié)議支持，包括IP、IPX、AppleTalk等。從通信安全的角度來(lái)看，信息點(diǎn)之間的通信安全性決定了網(wǎng)內(nèi)的安全性，所以對(duì)網(wǎng)內(nèi)的安全保護(hù)必須從數(shù)據(jù)訪問(wèn)范圍入手。通過(guò)構(gòu)建與實(shí)施安全方案對(duì)未經(jīng)授權(quán)的用戶加以限制訪問(wèn)，進(jìn)而達(dá)到阻絕未經(jīng)授權(quán)用戶的目的，而該類用戶只能夠訪問(wèn)個(gè)別特定網(wǎng)絡(luò)資源，對(duì)于網(wǎng)內(nèi)形成一種訪問(wèn)控制。從流量過(guò)濾的角度來(lái)說(shuō)，ACL就是用以過(guò)濾網(wǎng)絡(luò)流量的特殊技術(shù)手段，其特有配置能夠?qū)W(wǎng)絡(luò)流量起到限制作用，并決定其訪問(wèn)權(quán)限，或允許訪問(wèn)特定資源，或允許特定設(shè)備訪問(wèn)網(wǎng)內(nèi)，通過(guò)制定與轉(zhuǎn)發(fā)端口數(shù)據(jù)包，實(shí)現(xiàn)對(duì)外部設(shè)備的訪問(wèn)控制。從配置途徑來(lái)看，訪問(wèn)控制列表可以配置在路由器上，也可以配置在特定軟件商，比如具有ACL功能的業(yè)務(wù)軟件等。ACL是目前重要的系統(tǒng)安全保護(hù)技術(shù)，被廣泛應(yīng)用于物聯(lián)網(wǎng)，能夠有效防止非法設(shè)備對(duì)系統(tǒng)的破壞，防止非法獲取內(nèi)網(wǎng)資源。

1.1 基本原理

訪問(wèn)控制列表主要采用了數(shù)據(jù)包過(guò)濾技術(shù)，對(duì)數(shù)據(jù)包信息進(jìn)行全面詳細(xì)的獲取，主要包括源地址、目的地址、目的端口等。ACL配置中會(huì)事先設(shè)定相應(yīng)規(guī)則，訪問(wèn)控制列表根據(jù)規(guī)則過(guò)濾數(shù)據(jù)包，不符合規(guī)則直接予以限制訪問(wèn)，達(dá)到控制訪問(wèn)的目標(biāo)。數(shù)據(jù)包進(jìn)入到路由器時(shí)，路由器會(huì)判斷數(shù)據(jù)包的源地址，如果其源地址是可路由的，則進(jìn)行下一步操作，如果不是可路由的，則直接放入垃圾桶中；隨后，由路由器在訪問(wèn)控制列表中尋找入口，沒(méi)有找到入口則說(shuō)明不符合規(guī)則，直接放入垃圾桶；如果能夠找到則進(jìn)入下一步；隨后，再選擇路由器接口，進(jìn)入接口之后使用ACL，觸動(dòng)包過(guò)濾技術(shù)，根據(jù)路由器上讀取的包頭信息，與事先設(shè)定的控制規(guī)則進(jìn)行比較，濾除所有不滿足規(guī)則的數(shù)據(jù)。

1.2 配置原則

配置ACL通常要遵循以下基本原則：

1） 最小特權(quán)原則：即要求只給予受控對(duì)象完成任務(wù)的最小權(quán)限；

2） 最靠近原則：即所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制要盡量距離受控對(duì)象最近；

3） 默認(rèn)丟棄原則：每個(gè)訪問(wèn)控制列表的最后一個(gè)隱藏規(guī)則為deny any any。

具體根據(jù)不同設(shè)備對(duì)ACL技術(shù)的支持與配置，會(huì)有一些區(qū)別，而這些區(qū)別往往對(duì)于網(wǎng)絡(luò)安全策略的配置效率很重要。

1.3 ACL分類

前階段主要有三種ACL：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名ACL。目前有的地方也會(huì)結(jié)合實(shí)際需求使用一些特殊ACL，比如以太協(xié)議ACL等。其中，常見(jiàn)的標(biāo)準(zhǔn)ACL標(biāo)號(hào)為1-99的數(shù)字，擴(kuò)展ACL則為100-199。通過(guò)配置標(biāo)準(zhǔn)ACL能夠起到對(duì)特定網(wǎng)絡(luò)全部流量包的限制，或者限制某協(xié)議族的全部通信流量包。相比較而言，擴(kuò)展ACL的控制范圍更大，換句話說(shuō)就是對(duì)訪問(wèn)控制更準(zhǔn)確，比如可以選擇允許外來(lái)Web通信流量通過(guò)，但拒絕外來(lái)FTP通信流量的通過(guò)，從而達(dá)到實(shí)用的控制目的。而命名ACL則是將列表名稱用于ACL的編號(hào)定義，一般也有標(biāo)準(zhǔn)與擴(kuò)展兩種形式，可以對(duì)列表中個(gè)別的項(xiàng)目進(jìn)行刪除，也就是便于列表修改。

比較三者的區(qū)別，在標(biāo)準(zhǔn)ACL與擴(kuò)展ACL中，都要用到表號(hào)，但是在命名訪問(wèn)控制列表中，使用一個(gè)字母或數(shù)字組合的字符串可以代替前面使用的數(shù)字。命名訪問(wèn)控制列表可以刪除特定的控制條目，這樣就能夠滿足使用過(guò)程中的適當(dāng)修改。一般在使用命名訪問(wèn)控制列表時(shí)，要求路由器IOS版本在11.2以上，而且不能用同一個(gè)名字命名數(shù)個(gè)ACL，且不同類型的ACL也不能使用同一個(gè)名字。

1.4 基于時(shí)間的ACL

在一所高校內(nèi)，如果學(xué)校希望在某一個(gè)特定的時(shí)間范圍內(nèi)限定學(xué)生訪問(wèn)某特定網(wǎng)頁(yè)，只有在制定的時(shí)間才可以訪問(wèn)該網(wǎng)頁(yè)，那么就可以充分利用ACL技術(shù)，配置一種基于時(shí)間的訪問(wèn)控制列表，在特定時(shí)間范圍內(nèi)實(shí)現(xiàn)對(duì)訪問(wèn)的限制。這一過(guò)程中，需要做的是為設(shè)備配置比較精準(zhǔn)的時(shí)間，則ACL會(huì)在規(guī)定時(shí)間內(nèi)實(shí)施服務(wù)?；跁r(shí)間的ACL主要受指令控制，但是在此基礎(chǔ)上同時(shí)接受時(shí)間限制控制，除了列表規(guī)則外，還需要加設(shè)一個(gè)時(shí)間限制，因?yàn)檎Ｅ渲煤蟛捎玫哪J(rèn)所有時(shí)間允許訪問(wèn)的。通過(guò)對(duì)命令加設(shè)時(shí)間限制，就能讓該ACL命令在規(guī)定時(shí)間內(nèi)生效。

2 ACL創(chuàng)建與配置

2.1 標(biāo)準(zhǔn)訪問(wèn)控制列表配置

①創(chuàng)建訪問(wèn)控制列表

router（config）#access-list 1 deny 172.16.4.13 0.0.0.0

拒絕來(lái)自主機(jī)172.16.4.13的數(shù)據(jù)包。其中的1表示這是一個(gè)標(biāo)準(zhǔn)的訪問(wèn)控制列表。

也可用命令 access-list 1 deny host 172.16.4.13

router（config）#access-list 1 permit 172.16.0.0 0.0.255.255

允許網(wǎng)絡(luò)172.16.0.0的所有流量通過(guò)。

router（config）#access-list 1 permit any

允許任何流量通過(guò)。

②應(yīng)用到接口進(jìn)方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-group 1 in

把這個(gè)ACL綁定到接口F0/0進(jìn)的方向上。

③刪除一個(gè)訪問(wèn)控制列表

首先在接口模式下輸入命令：no ip access-group

然后在全局模式下輸入命令：no access-list

2.2 擴(kuò)展訪問(wèn)控制列表配置

①創(chuàng)建拒絕來(lái)自172.16.4.0 去往172.16.3.0 的FTP流量ACL

router（config）#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

router（config）#access-list 101 permit ip any any

②創(chuàng)建拒絕來(lái)自172.16.4.0 去往 172.16.3.0 的TELNET 流量的ACL

router（config）#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23

router（config）#access-list 101 permit ip any any

③創(chuàng)建拒絕主機(jī)192.168.1.1 到主機(jī) 192.168.1.254 的 icmp

router（config）#access-list 101 deny icmp host 192.168.1.1 host 192.168.1.254

router（config）#access-list 101 permit ip any any

④應(yīng)用到接口進(jìn)的方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-list 101 in

2.3 命名訪問(wèn)控制列表配置

①訪問(wèn)控制列表的命名

router（config）#ip access-list {standard | extended} name

router（config）#{permit | deny} {source [source-wildcard]|any} {test conditions}

這里test conditions 的使用可以參考標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)控制列表中相應(yīng)的內(nèi)容。

②命名訪問(wèn)控制列表的應(yīng)用

a.創(chuàng)建名為cisco的訪問(wèn)控制列表

router（config）#ip access-list extended cisco

b.拒絕主機(jī)192.168.3.1 去往 192.168.3.254 的遠(yuǎn)程桌面

router（config-ext-nacl）#deny tcp host 192.168.3.1 host 192.168.3.254 eq 3389

router（config-ext-nacl）#permit ip any any

c.應(yīng)用到接口進(jìn)方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-group cisco in

③查看ACL列表

router#show ip interface fastethernet 0/0

router#show access-list

router#show running-config

3 ACL在校園網(wǎng)中的應(yīng)用

將ACL應(yīng)用于某高校網(wǎng)絡(luò)結(jié)構(gòu)體的一部分，主要包括了教師辦公室、服務(wù)器機(jī)房、學(xué)生實(shí)驗(yàn)室。如1圖所示。網(wǎng)絡(luò)全部采用24位子網(wǎng)掩碼。

如圖所示，路由器通過(guò)以太網(wǎng)端口E0連接教師辦公室；通過(guò)端口S0連接校園網(wǎng)；通過(guò)端口E1連接服務(wù)器機(jī)房；通過(guò)端口E2連接學(xué)生實(shí)驗(yàn)室。針對(duì)該部分網(wǎng)絡(luò)結(jié)構(gòu)中，教師辦公室、服務(wù)器機(jī)房、學(xué)生實(shí)驗(yàn)室分別對(duì)網(wǎng)絡(luò)與數(shù)據(jù)安全的要求不同，應(yīng)當(dāng)分別構(gòu)建網(wǎng)絡(luò)安全策略。

對(duì)于教師辦公室，理論上主機(jī)中通常會(huì)存放一些敏感數(shù)據(jù)，比如重要測(cè)試試卷等，避免學(xué)生實(shí)驗(yàn)室對(duì)其訪問(wèn)；而反過(guò)來(lái)，學(xué)生實(shí)驗(yàn)室中的表現(xiàn)，在實(shí)驗(yàn)室計(jì)算機(jī)上的操作情況、實(shí)驗(yàn)情況，教師應(yīng)當(dāng)予以適當(dāng)管理與監(jiān)控，所以要采用單向控制標(biāo)準(zhǔn)。當(dāng)TCP連接時(shí)，路由器E2端口檢查數(shù)據(jù)表，如果確認(rèn)通過(guò)則數(shù)據(jù)包通過(guò)，如果學(xué)生實(shí)驗(yàn)室主機(jī)向教師辦公室主機(jī)網(wǎng)段發(fā)起TCP連接數(shù)據(jù)包，則表示不確認(rèn)，也就是拒絕通過(guò)，由此以來(lái)就能夠防止學(xué)生對(duì)教師敏感資料的訪問(wèn)。

對(duì)于學(xué)生實(shí)驗(yàn)室，要求可以訪問(wèn)較多的資源，比如允許學(xué)生訪問(wèn)電影資源、音樂(lè)資源、游戲資源，但是鑒于實(shí)驗(yàn)室作為學(xué)習(xí)場(chǎng)所，應(yīng)當(dāng)禁止上課期間學(xué)生對(duì)該類娛樂(lè)資源進(jìn)行訪問(wèn)。也就是禁止學(xué)生訪問(wèn)FTP服務(wù)，但是可以訪問(wèn)WWW服務(wù)。比如QQ游戲等應(yīng)用，查找因特網(wǎng)提供QQ游戲的服務(wù)器IP，采用ACL命令禁止實(shí)驗(yàn)室網(wǎng)段與該類IP服務(wù)器的網(wǎng)絡(luò)連接，就能防止學(xué)生上課時(shí)間訪問(wèn)游戲資源。

4 結(jié)束語(yǔ)

綜合全文，通過(guò)對(duì)ACL訪問(wèn)控制列表的合理配置，在校園網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部建立起了安全的網(wǎng)絡(luò)體系，可以在一定程度上提高網(wǎng)絡(luò)的安全性。通過(guò)對(duì)ACL技術(shù)在校園網(wǎng)中的應(yīng)用，能夠?qū)崿F(xiàn)對(duì)特定網(wǎng)頁(yè)數(shù)據(jù)信息的安全保護(hù)，避免外來(lái)訪問(wèn)對(duì)校園網(wǎng)數(shù)據(jù)安全帶來(lái)威脅。但是總的來(lái)說(shuō)，ACL過(guò)濾的包頭信息也比較局限，如果運(yùn)行不當(dāng)也可能造成資源浪費(fèi)，所以還應(yīng)當(dāng)結(jié)合實(shí)際情況適當(dāng)使用ACL技術(shù)，確保在保障網(wǎng)絡(luò)安全的前提下，充分提高網(wǎng)絡(luò)服務(wù)效率。

參考文獻(xiàn)：

[1] 孔曉宇.基于ACL訪問(wèn)控制列表的機(jī)房上網(wǎng)管理[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2010，06（27）：7476-7477.

[2] 曹世華，沈惠惠.訪問(wèn)控制列表在校園網(wǎng)安全管理的應(yīng)用[J].科技、經(jīng)濟(jì)、市場(chǎng)，2007（11）：123.