高彬

（山東省濱州市鄒平市禮參中學(xué)，山東 濱州 256200）

0 引言

校園網(wǎng)局域網(wǎng)絡(luò)的組成部分有很多，涉及管理、教學(xué)、行政、學(xué)生機(jī)房網(wǎng)絡(luò)和多系部辦公網(wǎng)絡(luò)等?，F(xiàn)階段高校校園網(wǎng)網(wǎng)絡(luò)流量最為常見的三種類型就是HTTP、P2P和對等網(wǎng)流量，它們支撐著校園網(wǎng)的基本載體一直維持為數(shù)字信息平臺(tái)，在很大程度上推動(dòng)了校園內(nèi)教學(xué)資源與網(wǎng)絡(luò)信息數(shù)據(jù)共享化、互動(dòng)化的發(fā)展。不過ACL技術(shù)的有效應(yīng)用讓校園路由器訪問控制列表進(jìn)入了全新的改善階段，通過對路由器和交換出入口之間訪問細(xì)則的更新設(shè)置，順利實(shí)施了校園網(wǎng)絡(luò)安全管理及流量的合理控制。

1 ACL工作原理

將ACL技術(shù)應(yīng)用于路由器配置中就能有效過濾出入于路由器器接口的數(shù)據(jù)包，具體工作過程就是數(shù)據(jù)包中第三、第四這兩層包頭中的信息，比如源端口號、源IP地址、目的端口號、目的IP地址和協(xié)議類型等會(huì)讀取到路由器中，首先進(jìn)入對比環(huán)節(jié)，將訪問控制列表中的首條語句條件作為對比標(biāo)準(zhǔn)，以匹配為例，需要圍繞語句中的允許（permit）和拒絕（deny）數(shù)據(jù)流通過量進(jìn)行對比，無需找尋另外的語句，完成ACL執(zhí)行指令即可[1]；在第一條語句不匹配的時(shí)候再按順序進(jìn)行第二條、第三條語句比較，直至最后一句；在過程中遇到匹配條件時(shí)，就直接按照匹配語句的permit和deny執(zhí)行即可；若沒有一條符合匹配條件的語句，需要以末尾隱式deny語句執(zhí)行，拒絕數(shù)據(jù)流通過。

2 ACL技術(shù)分類與功能

根據(jù)所使用的判斷條件不同，ACL基本上分為以下兩大類。

2.1 標(biāo)準(zhǔn)ACL

標(biāo)準(zhǔn)ACL表號的選擇通常都在1-99或者1300-1999數(shù)字之間，標(biāo)準(zhǔn)ACL能完全屏蔽某個(gè)網(wǎng)絡(luò)全部的通信流量，或接收某一特定網(wǎng)絡(luò)全部通信流量。標(biāo)準(zhǔn)ACL將數(shù)據(jù)包源IP地址作為判斷語句的依據(jù)和條件，因此功能上有所限制，只能應(yīng)用于某個(gè)主機(jī)或網(wǎng)絡(luò)的數(shù)據(jù)包過濾。

2.2 擴(kuò)展ACL

拓展ACL表號的選擇通常在100-199或者2000-2699數(shù)字之間，擴(kuò)展ACL語句判斷條件的依據(jù)較為多元化，可以是目的IP地址、數(shù)據(jù)包的源IP地址，也可以是數(shù)據(jù)訪問端口或協(xié)議。

2.3 ACL的作用與功能

一是限流和提升網(wǎng)絡(luò)性能。比如基于數(shù)據(jù)包協(xié)議指定該類型數(shù)據(jù)包為特殊優(yōu)先級，經(jīng)過路由器端口時(shí)可優(yōu)先處理；二是提供控制通信流量的渠道。ACL對路由器信息更新長度具有簡化或限定的作用，以此讓某個(gè)網(wǎng)段的通信流量得到合理限制；三是提供基礎(chǔ)性的安全網(wǎng)絡(luò)訪問渠道[2]；四是判定并分類路由器接口處通信流量的轉(zhuǎn)發(fā)或阻塞。就具體的校園網(wǎng)管理實(shí)踐來說，在工作時(shí)間要利用ACL才能順利運(yùn)用WWW這一功能；還能實(shí)現(xiàn)教學(xué)期間阻塞機(jī)房與外網(wǎng)的訪問鏈接。

2.4 ACL使用原則和工作過程

ACL的使用原則之一是最小特權(quán)原則，只針對受控對象完成任務(wù)的需要給予最低權(quán)限。就總體控制規(guī)則來說就是多個(gè)規(guī)則的交集，未滿足所有條件時(shí)則不可通過規(guī)則；二是最靠近受控對象原則，控制每個(gè)網(wǎng)絡(luò)層訪問權(quán)限，根據(jù)自上而下的順序注意檢測每條檢查規(guī)則，有符合條件的就可立馬轉(zhuǎn)發(fā)，不用繼續(xù)完成后面ACL語句檢測[3]；三是默認(rèn)丟棄原則，直接將最后一句默認(rèn)為ACL中融入DENY ANY ANY，在CISCO路由交換設(shè)備中直接丟棄與條件不符的數(shù)據(jù)包。

ACL的數(shù)據(jù)包訪問控制列表設(shè)置是基于路由器和交換機(jī)完成的，有效匹配當(dāng)中的判斷語句。列表在遇到符合匹配語句后就直接跳過后面的信息接受訪問；對于不匹配的數(shù)據(jù)包將直接被淘汰，如圖1。

圖1 ACL的實(shí)際工作流程示意圖

3 ACL技術(shù)在高校校園網(wǎng)流量安全控制中的策略分析

在信息化建設(shè)進(jìn)程飛速進(jìn)步的過程中，高校校園網(wǎng)實(shí)現(xiàn)了迅猛發(fā)展，諸如移動(dòng)校園、智慧校園等新型校園網(wǎng)理念已經(jīng)完成了大范圍的滲透，學(xué)生以及教職工無論是學(xué)習(xí)、工作還是生活都建立了對校園網(wǎng)網(wǎng)絡(luò)的依賴性。所以，有必要探究ACL技術(shù)對校園網(wǎng)流量安全控制的應(yīng)用策略和相關(guān)問題。

3.1 有效防范外來黑客病毒入侵與傳播

就現(xiàn)階段Windows系統(tǒng)來說，其系統(tǒng)漏洞很容易受到外來黑客病毒的猛烈攻擊，最糟糕的情況就是陷入網(wǎng)絡(luò)癱瘓或出現(xiàn)宕機(jī)，其中135/138/445/1434這些UDP端口會(huì)被病毒程序掃描，另外還有135/137/138/139/4444/9995這些TCP端口，這些都是易受到攻擊以及識(shí)別難度系數(shù)不大的端口[4]。應(yīng)用了ACL技術(shù)的端口deny語句配置就可阻斷病毒傳播，其中還會(huì)合理過濾ICMP數(shù)據(jù)包，然后通過PING命令對存在于主機(jī)中的在線病毒程序進(jìn)行全面探測。通常情況下不會(huì)遇到PING失效，其能讓網(wǎng)絡(luò)中毒率得以有效控制，具體配置如下。

很多種類的病毒都處于動(dòng)態(tài)演變進(jìn)化的過程，對于病毒掃描端口中的病毒識(shí)別環(huán)節(jié)可以通過ACL技術(shù)的應(yīng)用來適當(dāng)避免這個(gè)問題，在本地網(wǎng)絡(luò)配置中實(shí)施防毒策略的定期優(yōu)化。有一點(diǎn)要注意，不可直接照搬類似配置規(guī)則，否則很容易導(dǎo)致ACL技術(shù)失效，進(jìn)而不具備控制網(wǎng)絡(luò)流量安全的功能。

3.2 合理有效的控制網(wǎng)絡(luò)流量

現(xiàn)階段在校園網(wǎng)中有著較高應(yīng)用率的P2P下載工具有QQ下載、云端網(wǎng)盤、迅雷、360等，這些工具在具體應(yīng)用中會(huì)占用非常高的寬帶流量，經(jīng)常會(huì)引發(fā)網(wǎng)絡(luò)緩慢問題[5]。ACL技術(shù)對常用的、較為流行的P2P軟件端口號有所了解和掌握，比如3076和3078就是迅雷軟件的常用端口號，在此基礎(chǔ)上運(yùn)用ACL技術(shù)針對性的開展點(diǎn)對點(diǎn)的迅雷軟件控制，并在高校校園網(wǎng)中設(shè)置一個(gè)日常辦公時(shí)間段，比如8:00AM～4點(diǎn)PM，在這一時(shí)間段中要確保各種教學(xué)資源的數(shù)據(jù)和多種辦公軟件能夠正常順利的使用，對此需要將ACL技術(shù)安全控制策略配置于其中。

而學(xué)生網(wǎng)絡(luò)使用的專用安全控制策略則設(shè)置為。

這樣一來就能在很大程度上避免在日常辦公時(shí)間段智能觀，學(xué)校校園網(wǎng)的主要應(yīng)用需求不受影響，與此同時(shí)對學(xué)生網(wǎng)段的上網(wǎng)時(shí)間以及網(wǎng)絡(luò)流量做到合理有效的控制。

4 結(jié)語

總而言之，ACL技術(shù)在學(xué)校校園網(wǎng)中的應(yīng)用不單單是網(wǎng)絡(luò)管理，更重要的是建設(shè)網(wǎng)絡(luò)安全，提供校園網(wǎng)關(guān)鍵服務(wù)器的有效保護(hù)、給校園網(wǎng)主機(jī)提供安全管理，提升整個(gè)網(wǎng)絡(luò)管理的安全性和穩(wěn)定性。另外，因?yàn)橥卣笰CL對CUP和路由器的資源消耗量非常大，所以需要在具體應(yīng)用過程中適當(dāng)?shù)臏p少低檔路由器中拓展ACL條目數(shù)，最好能將其轉(zhuǎn)換為標(biāo)準(zhǔn)ACL，最大化的發(fā)揮ACL技術(shù)對校園網(wǎng)安全運(yùn)行的維護(hù)作用。