銀少海

（呼和浩特職業(yè)學院 內(nèi)蒙古 010051）

0 引言

計算機網(wǎng)絡的飛速發(fā)展，在一定程度上也給人們的工作生活等帶來了安全隱患，現(xiàn)在社會中，所有網(wǎng)絡用戶都應該時刻注意網(wǎng)絡安全問題，高校也是一樣。路由器是連接互聯(lián)網(wǎng)和局域網(wǎng)的重要設備，但是絕大部分人都只認識到它最基本的功能——路由，不知道它不僅可以是傳輸數(shù)據(jù)用的，它還可以通過設置訪問控制列表來進行安全的防護工作，這是抵御網(wǎng)絡攻擊的一個非常重要的控制策略。

1 訪問控制列表的作用和分類

首先，訪問控制列表的作用可以應用到限制網(wǎng)絡流，提高網(wǎng)絡性能上。舉例來說，網(wǎng)絡中的信息是由數(shù)據(jù)包組成的，訪問控制列表就是通過指定數(shù)據(jù)包來進行優(yōu)先級劃分。其次，訪問控制列表可以對通信流進行控制。比如，訪問控制列表可以通過對路由信息的長度進行簡化或是限定，使想要通過此網(wǎng)絡層的通訊流量被限制住。再次，訪問控制列表在網(wǎng)絡安全訪問中也起到了重要的作用，比如，在局域網(wǎng)中，通過訪問控制列表來對特定的網(wǎng)絡資源進行設置，只允許一臺主機或網(wǎng)絡能夠進行訪問，其他主機或網(wǎng)絡用戶則無權進入訪問資源。最后，在所有的信息流量中訪問控制列表能夠通過網(wǎng)絡層設備的端口來進行處理哪些是可以通過的通信流，哪些是被阻擋在外的。比如，用戶在訪問控制列表中設定了允許E-MALI通信流能夠通過路由，而所有的TENLET通信流都被設置為拒絕通過。

訪問列表是分為兩種的，一種是標準訪問列表，另一種是拓展訪問列表。其中，標準訪問列表的功能是十分有限的，它只允許被過濾源地址。而擴展的訪問列表在功能上就比標準訪問列表多出好多，不僅能夠允許過濾源地址，還能對目的地址和上層應用數(shù)據(jù)進行相關檢測。

Cics路由器在對訪問列表上有著領先技術，它是從IOS12.0開始就能根據(jù)時間來進行設置訪問列表，可以在一天的不同時間段或是一個星期中的不同日期來對網(wǎng)絡中的數(shù)據(jù)包進行控制轉發(fā)。加入時間的訪問列表是在標準訪問列表和擴展訪問列表的基礎上來進行的，是通過有效的時間來對網(wǎng)絡控制做到更合理，更有效。擁有時間的訪問列表也是需要擁有原先訪問列表這一基礎的，是需要預先設定的時間范圍才能應用起來的。

2 訪問控制列表在校園網(wǎng)絡安全網(wǎng)中的應用

在網(wǎng)絡安全的建設中，網(wǎng)絡安全工程師為了確保網(wǎng)絡能夠在安全的環(huán)境下工作，在實際的建設中，是需要根據(jù)各單位的網(wǎng)絡安全中的具體需求來進行工作的，在相關的設備中建立各種復雜的訪問控制列表，并巧妙的將其結合起來使用。在校園網(wǎng)的管理中，網(wǎng)絡安全不僅僅是對簡單的木馬，病毒來進行防護，更多的是要結合高校自身的特點，根據(jù)不同的需求來對網(wǎng)絡安全進行設置，網(wǎng)絡管理員可以通過對校園網(wǎng)的了解及日常工作中遇到的問題在網(wǎng)絡設備上設置相應的訪問控制列表，這樣人為的控制安全策略能夠起到一定的約束效果。舉例來說：

2.1 限制學生訪問的網(wǎng)絡資源

在校園網(wǎng)中，需要注意的是學生非法訪問網(wǎng)絡資源，有些計算機網(wǎng)絡技術學的好的學生可能會惡意攻擊學校中的網(wǎng)絡設備或是服務器等，所以在校園網(wǎng)的安全防護上要設置合理，穩(wěn)妥的訪問控制列表來限制學生所用的網(wǎng)段對校園網(wǎng)的服務器進行訪問，如果學生所用的網(wǎng)段為192.168.1.100/22，校園網(wǎng)中其他用戶的網(wǎng)段為192.168.0.100/22，那么為了防止學生對校園服務器進行惡意攻擊的同時又不妨礙其他用戶的正常工作，這就可以在相關的網(wǎng)絡設備中設置應用訪問控制列表權限。

Router（config）#access-1ist 1 deny 192.168.1.0 0.0.0.255

Router（config）#access-1ist 1 permit any

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 1 in

在高校中，教室和實驗室是學生駐留時間最久的地方，是給學生學習和做實驗的場所，在休息時間段里，要確保學生能夠真正放松去休息，學習時間能夠認真學習，擁有良好的自律意識，不去做一些與學習無關的事或是妨礙休息時間的事情，比如通過網(wǎng)絡聊天工具進行聊天，玩大型的網(wǎng)絡游戲等。這時就需要運用到訪問控制列表來對相應的網(wǎng)絡設備中進行網(wǎng)絡限制。假如能夠進行各種網(wǎng)絡游戲，視頻及聊天的資源都在校園網(wǎng)中網(wǎng)段為192.168.2.0的FTP服務器上，學生所用的網(wǎng)段則是192.168.3.0時，如何采用訪問控制列表來限制其進行相關操作就需要通過以下配置來實現(xiàn)：

Router（config）#access-1ist 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww

Router（config）#access-1ist 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp

Router（config）#access-1ist 102 permit ip any any Router（config）#int E1

Router（config）#ip access-group 102 out

2.2 網(wǎng)絡管理員需要遠程控制

在校園網(wǎng)絡的安全管理中，由于校園網(wǎng)的鋪蓋面積較廣，所以在網(wǎng)絡管理及設備管理上能達到快捷方便，就需要網(wǎng)絡管理員建立一個遠程登錄平臺，通過遠程控制的方法對校園里所有的路由器及交換機、防火墻進行安全設置，制訂出網(wǎng)絡安全策略，并且這個登錄平臺是其他人員無法登錄和訪問的，只有特定的網(wǎng)絡IP地址才能對其進行訪問登錄。假設網(wǎng)絡所處網(wǎng)段為10.1.100.0，管理網(wǎng)段是10.1.300.0，如何在相關的網(wǎng)絡設備中進行訪問就需要采用以下訪問控制策略，通過運用到相關接口上來允許管理網(wǎng)段對其進行訪問。

Router（config）#access-1ist 101

permit ip 10.1.300.0 0.0.0.255 10.1.100.0 0.0.0.255

Router（config）#access-1ist 101 deny ip any 10.1.100.0 0.0.0.255

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 101 in

2.3 學生宿舍限制上網(wǎng)時段

上述中我們到Cics路由器從IOS12.0版本開始就已經(jīng)可以通過定時來設置訪問控制列表，在高校中，學生上網(wǎng)時段是需要進行嚴格控制的，這就需要通過這一列表來對其進行控制，假如校園網(wǎng)中能允許學生上網(wǎng)的時間是每天的7：00到23：00，那么可以在相關設備上進行如下的配置：

C6509-CENTER（config）# time-range stu_dom

C6509-CENTER（config-time）# periodic dai1y 7：00 to 23：00 //定義時間范圍

C6509-CENTER（config）# access-1ist 111 permit ip any any time-range stu_dom

C6509-CENTER（config）# int v1an 50 //

進入 v1an 50C6509-CENTER（config-if）# ip access-group 111 in

3 結束語

在校園網(wǎng)中，網(wǎng)絡管理員有效的應用訪問控制列表，可以使校園網(wǎng)絡的安全性得到很大的提高，但是需要明確一點，就是防火墻的作用也是至關重要的，不能因為設置了訪問控制列表就忽視了防火墻的設置，要兩者相結合才能使校園網(wǎng)絡更加的安全。

[1]劉璨.訪問控制列表在校園網(wǎng)的應用[J].東莞理工學院學報.2010.

[2]王尊.訪問控制列表在高校校園網(wǎng)絡安全中的應用[J].電子世界.2014.