鄭志凌等

摘要：高校不斷的探索通過互聯(lián)網(wǎng)技術(shù)來(lái)完善校園網(wǎng)，推進(jìn)以校園網(wǎng)為主的數(shù)字化校園建設(shè)進(jìn)程。該文在分析高校校園網(wǎng)網(wǎng)絡(luò)流量、安全使用現(xiàn)狀和ACL應(yīng)用技術(shù)的基礎(chǔ)上，提出了基于ACL技術(shù)的高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制的策略，以提高校園網(wǎng)的應(yīng)用，促進(jìn)高校數(shù)字化校園的建設(shè)。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)流量；安全控制；ACL技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）02-0055-02

Abstract： Universities continue to explore the Internet technology to improve the campus network， promote campus network based digital campus construction process. Based on the analysis of campus network traffic、security application status and ACL application of technology，propose a strategy of campus network traffic ACL-based security control， improving the campus network applications and promoting the construction of university digital campus.

Key words： campus network； network traffic； security control； ACL technology

1 高校校園網(wǎng)流量使用現(xiàn)狀

互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展，對(duì)我國(guó)經(jīng)濟(jì)、社會(huì)、文化等方面的發(fā)展帶來(lái)了巨大的影響，這種影響也涉及到了高校校園網(wǎng)的建設(shè)。高校校園網(wǎng)使用范圍廣泛，對(duì)校園網(wǎng)流量進(jìn)行科學(xué)合理的分配和設(shè)置，可以提高校園網(wǎng)的應(yīng)用水平，保障校園網(wǎng)的正常運(yùn)行，為學(xué)生的全面發(fā)展、教職工的教學(xué)科研工作創(chuàng)造良好的環(huán)境。

目前，我國(guó)高校校園網(wǎng)網(wǎng)絡(luò)流量主要有三種類型：1）HTTP（HyperText Transfer Protocol）流量：即網(wǎng)站訪問和網(wǎng)頁(yè)瀏覽時(shí)產(chǎn)生的流量。這種類型流量的使用和產(chǎn)生主要基于超文本傳輸和應(yīng)用層協(xié)議為主的服務(wù)協(xié)議實(shí)現(xiàn)瀏覽器和服務(wù)器之間的數(shù)據(jù)的發(fā)送、傳遞和接收；2）流媒體流量：利用流媒體來(lái)實(shí)現(xiàn)數(shù)據(jù)的傳輸并在互聯(lián)網(wǎng)上進(jìn)行播放的過程中產(chǎn)生的流量，從技術(shù)上來(lái)說就是將動(dòng)畫、視頻等形式的多媒體文件進(jìn)行壓縮，并通過視頻播放器傳送到用戶終端，支持用戶邊下載邊看；3）P2P（Peer to Peer）流量：P2P即對(duì)等網(wǎng)絡(luò)、對(duì)等連接，其在各種格式文件的下載上具有顯著的優(yōu)勢(shì)，而且還可以快速的實(shí)現(xiàn)文件傳輸及共享、語(yǔ)音或者視頻通信等，當(dāng)前已經(jīng)成為用戶必裝的應(yīng)用程序。同時(shí)，其對(duì)下載數(shù)量、時(shí)間等方面的限制十分寬松，在方便了用戶下載的同時(shí)占用了網(wǎng)絡(luò)中絕大部分的流量[1]。

不同類型和用途的網(wǎng)絡(luò)流量占據(jù)了高校校園網(wǎng)網(wǎng)絡(luò)帶寬的絕大部分，給網(wǎng)絡(luò)的暢通和性能都帶來(lái)很大的影響，具體體現(xiàn)在：

1）高校校園網(wǎng)種非教學(xué)和學(xué)習(xí)應(yīng)用的流量使用比例過高。當(dāng)前，校園網(wǎng)流量的使用過程中，在線視頻、下載等應(yīng)用占據(jù)著校園網(wǎng)大量的網(wǎng)絡(luò)資源，不斷的搶占高校教學(xué)和學(xué)習(xí)應(yīng)用的網(wǎng)絡(luò)資源，嚴(yán)重影響了校園網(wǎng)中正常的教學(xué)、學(xué)習(xí)和管理。

2）高校校園網(wǎng)的網(wǎng)絡(luò)安全受到極大的威脅。校園網(wǎng)用戶大量不安全的操作，以及校園網(wǎng)本身的安全防衛(wèi)能力強(qiáng)弱不一，使得大量非法鏈接和惡意應(yīng)用程序占用校園網(wǎng)大量的網(wǎng)絡(luò)資源和流量。

3）高校校園網(wǎng)的服務(wù)質(zhì)量得不到保障。校園網(wǎng)用戶主要通過網(wǎng)頁(yè)瀏覽的方式來(lái)獲取學(xué)習(xí)、辦公等方面的信息，還可以通過遠(yuǎn)程教育、文件傳輸、視頻交流等方式實(shí)現(xiàn)師生之間、學(xué)生之間、教職工之間的溝通和交流。而各種非教學(xué)和學(xué)習(xí)的網(wǎng)絡(luò)應(yīng)用必然會(huì)對(duì)降低校園網(wǎng)的網(wǎng)絡(luò)質(zhì)量，影響正常的學(xué)習(xí)和教學(xué)管理活動(dòng)，不利于高校校園網(wǎng)用戶學(xué)習(xí)、辦公和其他正常應(yīng)用的進(jìn)行。

2 ACL技術(shù)及其在高校校園網(wǎng)流量安全控制中的作用

1）ACL技術(shù)原理

ACL（Access Control List）即訪問控制列表，主要負(fù)責(zé)對(duì)經(jīng)過路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包進(jìn)行判斷、分類和過濾，由地址源、目的地址、端口號(hào)等信息構(gòu)成。通過設(shè)置訪問控制列表規(guī)則，與規(guī)則符合的數(shù)據(jù)允許通過；與規(guī)則不符合的數(shù)據(jù)拒絕通過。

ACL可以將經(jīng)過路由器、交換機(jī)的數(shù)據(jù)包包頭與訪問控制列表的首個(gè)判斷語(yǔ)句進(jìn)行匹配，匹配符合時(shí)，自動(dòng)忽略后面的語(yǔ)句，代表著語(yǔ)句通過訪問。而匹配不符合時(shí)，就按照訪問列表的順序進(jìn)行后續(xù)的匹配，直至匹配符合時(shí)才能通過，如果全部匹配都不符合，該數(shù)據(jù)包就會(huì)被拒絕通過并拋棄，ACL工作流程如圖1所示 [2]。

2）ACL技術(shù)在高校校園網(wǎng)流量安全控制中的作用

目前主要有三種ACL技術(shù)，基于標(biāo)準(zhǔn)的ACL技術(shù)負(fù)責(zé)對(duì)數(shù)據(jù)包源地址的檢查；基于擴(kuò)展的ACL技術(shù)負(fù)責(zé)對(duì)數(shù)據(jù)包源地址和目標(biāo)地址的檢查；基于時(shí)間的ACL技術(shù)在對(duì)數(shù)據(jù)包源地址和目標(biāo)地址檢查的基礎(chǔ)上，引入時(shí)間控制機(jī)制，實(shí)現(xiàn)對(duì)上網(wǎng)有效時(shí)間的控制[3]。ACL的應(yīng)用是在每個(gè)方向、接口和每種協(xié)議上配置一個(gè)ACL規(guī)則，因此，ACL技術(shù)在高校校園網(wǎng)流量安全控制中可以實(shí)現(xiàn)以下作用：

第一，ACL技術(shù)可以保障校園網(wǎng)使用過程中的安全性。高校校園網(wǎng)中，用戶對(duì)互聯(lián)網(wǎng)的訪問不可避免的會(huì)被病毒、木馬侵入，甚至在不知情的情況下傳播病毒，成為當(dāng)前校園網(wǎng)及其應(yīng)用中最大的威脅。通過ACL技術(shù)可以實(shí)現(xiàn)對(duì)不安全網(wǎng)絡(luò)地址、網(wǎng)絡(luò)端口的封鎖，達(dá)到維護(hù)網(wǎng)絡(luò)安全的目標(biāo)。

第二，ACL技術(shù)可以優(yōu)化校園網(wǎng)網(wǎng)絡(luò)流量的使用。通過ACL只允許校園網(wǎng)內(nèi)的主機(jī)主動(dòng)發(fā)起與校園網(wǎng)外主機(jī)的連接，而禁止校園網(wǎng)外主機(jī)發(fā)起的與校園網(wǎng)內(nèi)主機(jī)的連接操作，對(duì)占用校園網(wǎng)大量帶寬和資源的非學(xué)習(xí)和教學(xué)活動(dòng)進(jìn)行有效控制，實(shí)現(xiàn)校園網(wǎng)流量和資源的合理分配和最佳應(yīng)用。

第三，ACL技術(shù)可以控制學(xué)生等校園網(wǎng)用戶的上網(wǎng)時(shí)間。學(xué)生作為高校校園網(wǎng)的主要用戶，因自我約束和限制能力較差導(dǎo)致其長(zhǎng)時(shí)間的沉迷于網(wǎng)絡(luò)世界，對(duì)其正常的學(xué)習(xí)、生活等都帶來(lái)了很大的影響。通過ACL技術(shù)的應(yīng)用可以對(duì)校園網(wǎng)用戶的上網(wǎng)使用時(shí)間、地點(diǎn)等信息進(jìn)行強(qiáng)制性限制，控制學(xué)生等校園網(wǎng)用戶的上網(wǎng)時(shí)間。

3 ACL技術(shù)在高校校園網(wǎng)流量安全控制策略中的應(yīng)用

3.1 ACL技術(shù)應(yīng)用于校園網(wǎng)流量安全控制時(shí)的網(wǎng)絡(luò)環(huán)境構(gòu)建

高校校園網(wǎng)主要為學(xué)生學(xué)習(xí)、教職工工作以及學(xué)校的管理活動(dòng)提供便捷的網(wǎng)絡(luò)應(yīng)用，需要針對(duì)不同的用戶的不同需求進(jìn)行合理的配置和適當(dāng)?shù)南拗?。因此，?yīng)該通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)設(shè)計(jì)高校學(xué)生宿舍區(qū)、教學(xué)樓、圖書館、教職工辦公區(qū)等不同區(qū)域的不同用戶之間的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)帶寬。還可以通過ACL技術(shù)來(lái)控制校園網(wǎng)流量，實(shí)現(xiàn)對(duì)不同校區(qū)、不同用戶以及同一校區(qū)不同用戶群體的層次化管理，促進(jìn)多平臺(tái)校園網(wǎng)絡(luò)環(huán)境的實(shí)用性和拓展性。

3.2 ACL技術(shù)應(yīng)用于校園網(wǎng)流量安全控制時(shí)的網(wǎng)絡(luò)流量控制及管理

1）通過對(duì)輸入和輸出數(shù)據(jù)的限制來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)流量的合理控制。在校園網(wǎng)每個(gè)接口、數(shù)據(jù)傳輸方向和每種應(yīng)用協(xié)議上配置一個(gè)ACL，注意ACL在接收、發(fā)送設(shè)備的設(shè)置，這樣就可以有效的控制校園網(wǎng)中每個(gè)用戶的不用應(yīng)用所使用網(wǎng)絡(luò)流量[4]。

2）合理配置不同用戶網(wǎng)絡(luò)應(yīng)用的流量和網(wǎng)絡(luò)資源。在校園網(wǎng)多層次網(wǎng)絡(luò)應(yīng)用環(huán)境構(gòu)建的基礎(chǔ)上，利用ACL技術(shù)對(duì)學(xué)習(xí)型用戶、教育工作型用戶和科研型用戶的網(wǎng)絡(luò)流量進(jìn)行優(yōu)先配置，保障其網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。將聊天、下載、在線視頻等應(yīng)用，尤其是占據(jù)著校園網(wǎng)絕大多數(shù)流量的P2P應(yīng)用進(jìn)行管理，實(shí)現(xiàn)有差別的流量控制和網(wǎng)絡(luò)資源的配置，保障用戶的正常網(wǎng)絡(luò)應(yīng)用，提高校園網(wǎng)網(wǎng)絡(luò)流量的利用率。

3）通過對(duì)用戶上網(wǎng)時(shí)間的控制，實(shí)現(xiàn)校園網(wǎng)流量使用的合理化。學(xué)生作為高校校園網(wǎng)的主流用戶，是校園網(wǎng)使用人數(shù)最多的群體，但是很多的高校學(xué)生缺乏自我約束和控制，長(zhǎng)時(shí)間的沉迷于網(wǎng)絡(luò)世界，特別是網(wǎng)絡(luò)游戲、在線電影等非學(xué)習(xí)性的網(wǎng)絡(luò)應(yīng)用，基于時(shí)間類型的ACL技術(shù)可以通過強(qiáng)制性手段幫助學(xué)生控制不正常的上網(wǎng)時(shí)間。通過ACL可以在具體時(shí)間段內(nèi)進(jìn)行數(shù)據(jù)傳輸控制，根據(jù)實(shí)際情況設(shè)定不同用戶可以上網(wǎng)和不可以上網(wǎng)的時(shí)間，實(shí)現(xiàn)校園網(wǎng)網(wǎng)絡(luò)流量使用的合理化。

3.3 ACL技術(shù)應(yīng)用于校園網(wǎng)流量安全控制時(shí)的網(wǎng)絡(luò)安全管理

訪問控制能夠保障合法用戶正常的獲取所需資源，還能拒絕非授權(quán)用戶的非法訪問。通過在路由器或三層交換機(jī)上設(shè)置合理的ACL策略，可以實(shí)現(xiàn)對(duì)用戶使用校園網(wǎng)的有效管理和嚴(yán)格控制，增強(qiáng)校園網(wǎng)的整體安全性，減少訪問外部網(wǎng)絡(luò)產(chǎn)生的風(fēng)險(xiǎn)[5]。

在高校校園網(wǎng)中設(shè)置的ACL策略，可以建立有效的安全防護(hù)體系，提高校園網(wǎng)用戶訪問的安全性。如果ACL策略設(shè)置不當(dāng)將會(huì)造成網(wǎng)絡(luò)資源浪費(fèi)，降低網(wǎng)絡(luò)的利用率。因此，必須根據(jù)高校校園網(wǎng)的實(shí)際情況，設(shè)置合理有效的ACL策略，才能充分發(fā)揮ACL的作用，在不降低網(wǎng)絡(luò)利用率的前提下確保高校校園網(wǎng)的網(wǎng)絡(luò)安全。

4 結(jié)束語(yǔ)

由于高校校園網(wǎng)網(wǎng)絡(luò)流量的復(fù)雜性，對(duì)于通過ACL有效地控制出口流量、合理地分配網(wǎng)絡(luò)帶寬等方面還需要做深入研究，進(jìn)一步優(yōu)化網(wǎng)絡(luò)流量的控制，解決帶寬不合理占用、網(wǎng)絡(luò)擁塞以及網(wǎng)絡(luò)安全隱患等一系列問題，保障高校校園網(wǎng)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，提高用戶上網(wǎng)效率。

參考文獻(xiàn)：

[1] 劉小園，衣?lián)P.基于ACL的高校校園網(wǎng)絡(luò)安全管理探析[J].電腦開發(fā)與應(yīng)用，2013，4：15-17.

[2] 邊春瑩.高校校園網(wǎng)安全策略的研究與設(shè)計(jì)[D].哈爾濱理工大學(xué)，2013.

[3] 王亮.淺談如何利用訪問控制列表技術(shù)保障校園網(wǎng)網(wǎng)絡(luò)安全[J].福建電腦，2012，8：56-57.

[4] 王尊.訪問控制列表在高校校園網(wǎng)絡(luò)安全中的應(yīng)用[J]. 電子世界，2014，18：256-257.

[5] 王坦，徐愛超，郭學(xué)義，等.基于ACL的網(wǎng)絡(luò)安全策略應(yīng)用研究[J].計(jì)算機(jī)安全，2014（9）：41-44.