南京理工大學(xué)電光學(xué)院 王 尊

訪問控制列表在高校校園網(wǎng)絡(luò)安全中的應(yīng)用

南京理工大學(xué)電光學(xué)院 王 尊

訪問控制列表作為網(wǎng)絡(luò)防御外來攻擊的重要控制策略，對整個網(wǎng)絡(luò)的安全防護起著至關(guān)重要的作用。在高校校園網(wǎng)的管理過程中，人們可以結(jié)合高校教學(xué)工作的自身特點，根據(jù)不同功能場所對網(wǎng)絡(luò)及數(shù)據(jù)安全的不同要求，靈活運用訪問控制列表的相關(guān)技術(shù)來構(gòu)建相應(yīng)的網(wǎng)絡(luò)安全策略。

訪問控制列表；校園網(wǎng)；網(wǎng)絡(luò)安全

網(wǎng)絡(luò)的迅猛發(fā)展伴之而來的是網(wǎng)絡(luò)的安全問題，任何使用網(wǎng)絡(luò)的單位、個人都需要時刻注意自己的網(wǎng)絡(luò)安全問題，高校也不例外。作為網(wǎng)絡(luò)傳輸過程中的常見設(shè)備——路由器，不少人和單位僅僅認(rèn)識和利用了它的一個基本功能——路由，實際上路由器作為信息數(shù)據(jù)流出入的必經(jīng)之路，還可以用訪問控制列表來作為防御網(wǎng)絡(luò)外來攻擊的一種重要控制策略。

1.訪問控制列表及功能

訪問控制列表（Access Control List，ACL）是應(yīng)用到路由器和交換機接口的指令列表，用來控制端口進出的信息流。通過對數(shù)據(jù)包做相應(yīng)的過濾、匹配，進而告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕，其目的是為了對某種訪問進行控制，從而起到保護相關(guān)設(shè)備，以及網(wǎng)絡(luò)安全的作用。

所謂訪問控制列表（Access Control List，ACL），是指應(yīng)用到路由器和交換機接口的一組條件控制指令列表，用來控制端口進出的信息流。它通過對數(shù)據(jù)包做相應(yīng)的過濾、匹配，進而告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。因此，訪問控制列表對整個網(wǎng)絡(luò)的安全防護起著至關(guān)重要的作用。訪問控制列表目前有兩種基本分類：標(biāo)準(zhǔn)訪問控制列表和擴展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作，功能較為單一，其編號范圍是從1到99；擴展訪問控制列表比標(biāo)準(zhǔn)訪問控制列表具有更多的匹配項，包括檢查數(shù)據(jù)包的源地址、目的地址、源端口號、目的端口號、協(xié)議類型、IP優(yōu)先級和連接建立等，其編號范圍是從100到199。特定協(xié)議類型以及TCP等。相對而言，擴展訪問控制列表表現(xiàn)出了較標(biāo)準(zhǔn)訪問控制列表所不具備的靈活性。

訪問控制列表的主要功能在于：阻止非法用戶訪問、使用特定的網(wǎng)絡(luò)資源或限定特定用戶的網(wǎng)絡(luò)訪問權(quán)限。另外，還可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，也可在路由器端口處決定轉(zhuǎn)發(fā)或阻塞某種類型的通信數(shù)據(jù)流等。

2.訪問控制列表在校園網(wǎng)絡(luò)安全網(wǎng)中的應(yīng)用

為了確保網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全工程師往往根據(jù)網(wǎng)絡(luò)安全具體需要，在路由器等設(shè)備上建立一系列訪問控制列表，巧妙地將多種網(wǎng)絡(luò)訪問控制列表策略結(jié)合起來使用。作為高校校園網(wǎng)的管理，我們認(rèn)為網(wǎng)絡(luò)安全不只是簡單的防毒、防木馬，更是應(yīng)結(jié)合高校教學(xué)工作的本身特點，根據(jù)高校教學(xué)、生活各場所對網(wǎng)絡(luò)及有關(guān)數(shù)據(jù)安全的不同要求，網(wǎng)絡(luò)管理員可以運用訪問控制列表技術(shù)在對應(yīng)的網(wǎng)絡(luò)設(shè)備上設(shè)定相應(yīng)的網(wǎng)絡(luò)訪問控制列表的安全策略，起到一種人為的控制和約束效果。舉例如下：

2.1 限制學(xué)生訪問的網(wǎng)絡(luò)資源

針對學(xué)生非法訪問網(wǎng)絡(luò)資源，甚至惡意攻擊學(xué)校網(wǎng)絡(luò)設(shè)備與服務(wù)器，可以設(shè)置合理、穩(wěn)妥的訪問控制列表來限制學(xué)生所在網(wǎng)段的計算機訪問學(xué)校的服務(wù)器（如管理服務(wù)器）。假設(shè)學(xué)生所在網(wǎng)段為192.168.1.100/22，其他校園網(wǎng)內(nèi)的用戶網(wǎng)段為192.168.0.100/22，為了防止學(xué)生惡意攻擊相關(guān)服務(wù)器，同時又不影響其他用戶的正常訪問網(wǎng)絡(luò)資源，可以在相關(guān)網(wǎng)絡(luò)設(shè)備上設(shè)置如下訪問控制列表，并將其應(yīng)用到相關(guān)接口上。

高校教室、實驗室一般是提供給學(xué)生學(xué)習(xí)、做實驗的場所。作息時間，為了確保學(xué)生能夠做到自律，認(rèn)真學(xué)習(xí)，防止他們?nèi)プ鲆恍┡c學(xué)習(xí)無關(guān)的事情（聊QQ、玩網(wǎng)絡(luò)游戲等），這就需要網(wǎng)絡(luò)管理員在對應(yīng)的網(wǎng)絡(luò)設(shè)備上設(shè)定相應(yīng)的網(wǎng)絡(luò)訪問控制列表。假設(shè)電影、聊QQ、玩網(wǎng)絡(luò)游戲之類的資源放在校園網(wǎng)網(wǎng)段為192.168.2.0的的FTP服務(wù)器上，而學(xué)生教室或?qū)嶒炇揖W(wǎng)段為192.168.3.0，這里就可采用一下的訪問控制列表配置策略實現(xiàn)相應(yīng)要求：

2.2 某些場所需要單向網(wǎng)絡(luò)訪問控制

教務(wù)處、任課教師的辦公室往往會存一些試卷等秘密信息或數(shù)據(jù)，因此不宜讓學(xué)生訪問，但是教務(wù)處、教師辦公室網(wǎng)段要能訪問學(xué)生的教室、實驗室的電腦，以便對學(xué)生上課、做實驗等情況進行監(jiān)控。假設(shè)教師的辦公室網(wǎng)段為192.168.1.0，教室或?qū)嶒炇揖W(wǎng)段為192.168.3.0，這樣，要達到192.168.1.0網(wǎng)段到192.168.3.0網(wǎng)段的單向訪問控制，網(wǎng)絡(luò)管理員可采用如下的訪問控制列表進行策略配置：

2.3 網(wǎng)絡(luò)管理員需要遠(yuǎn)程控制

在校園網(wǎng)絡(luò)安全管理過程中，為了方便網(wǎng)絡(luò)管理員對校園內(nèi)各種網(wǎng)絡(luò)設(shè)備的管理，網(wǎng)絡(luò)管理員可以通過遠(yuǎn)程登錄的方法對遍布校園各個角落的路由器、交換機、防火墻進行配置，制訂網(wǎng)絡(luò)安全策略，阻止其他人員對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程訪問和登陸，確保只有網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)IP地址才能夠訪問該網(wǎng)絡(luò)設(shè)備。假設(shè)網(wǎng)絡(luò)設(shè)備所處網(wǎng)段為10.1.100.0，管理網(wǎng)段為10.1.300.0，在相關(guān)網(wǎng)絡(luò)設(shè)備上可采用如下訪問控制策略，并將其應(yīng)用到相關(guān)接口上，從而只允許上述管理網(wǎng)段對設(shè)備訪問。

2.4 限制來自P2P和網(wǎng)絡(luò)游戲蠶食帶寬流量

據(jù)相關(guān)數(shù)據(jù)顯示，在高校校園網(wǎng)中50～90%的總流量都來自P2P，其蠶食著大量帶寬，常常導(dǎo)致校園內(nèi)對實時性要求較高的如多媒體教學(xué)、電視電話會議、教師教學(xué)科研上網(wǎng)和校園辦公OA等無法正常的開展（謝大吉，2011）。對此，可以利用訪問控制列表將其它不常用的端口關(guān)閉掉，阻斷大部分P2P流量和網(wǎng)絡(luò)游戲。目前主流的網(wǎng)絡(luò)視頻、聊天軟件、在線游戲大多采用P2P技術(shù)。這些P2P軟件或游戲有些是用一些固定的端口，但有些P2P工具無法確定所使用的端口號，因而最好的辦法就是把除正常業(yè)務(wù)需要所使用的端口如http的80端口、ftp的21，22端口、telnet的23端口等外，在相關(guān)網(wǎng)絡(luò)設(shè)備上通過訪問控制列表將關(guān)掉其它不常用的端口，從而使得大部分P2P軟件和網(wǎng)絡(luò)游戲無法正常使用，保證正常網(wǎng)絡(luò)業(yè)務(wù)開展。

3.結(jié)語

通過采用訪問控制列表以上的系列配置策略，可對目前高校校園網(wǎng)構(gòu)建起基本的網(wǎng)絡(luò)安全體系。但是，在具體的網(wǎng)絡(luò)安全防護中，訪問控制列表并沒有被充分地利用，也有的運行不當(dāng)還可能造成網(wǎng)絡(luò)資源浪費，降低網(wǎng)絡(luò)的服務(wù)效率。

因而，在構(gòu)建安全、可靠的網(wǎng)絡(luò)環(huán)境時，應(yīng)當(dāng)結(jié)合網(wǎng)絡(luò)安全具體需求和設(shè)備的實際支持功能，合理的配置與部署訪問控制列表，這樣才能既保護網(wǎng)絡(luò)安全，又發(fā)揮了網(wǎng)絡(luò)的服務(wù)效率。

[1]斯桃枝,姚馳甫.路由與交換技術(shù)[M].北京:北京大學(xué)出版社,2008.

[2]莫林利.使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J].華東交通大學(xué)學(xué)報,2009(12).

[3]謝大吉.網(wǎng)絡(luò)管理中訪問控制列表應(yīng)用探討[J].中國科技信息,2011(2).

book=257,ebook=85

王尊（1992—），男，江蘇淮安人，南京理工大學(xué)電光學(xué)院通信工程專業(yè)2011級本科生，研究方向：無線通信。