ACL,技术在高校校园网中管理与安全控制的应用:高校校园网设计方案
时间:2019-05-19 03:27:18 来源:雅意学习网 本文已影响 人 
【 摘 要 】 随着计算机网络技术的不断发展,校园网络也迅速发展,校园信息化办公、网络化学习日渐成熟,与此同时网络安全问题也日益突出。采用访问控制列表ACL (Access Control List)有效在校园网络内实现限制用户上网时间、流量控制等网络安全管理,提高校园网络业务服务质量QoS。
【 关键词 】 网络安全;ACL;QOS;安全策略
ACL Technology in Campus Network Management and Safety Control in the Application
Huang Yue
(Guangdong Nanfang Vocational College GuangdongJiangmen 529000)
【 Abstract 】 Campus network rides on the tide of the rapid development of computer network technology. More and more campus information exchange goes through internet and internet learning become increasingly popular, while at the same time, network security has now present itself as a worry. To tackle with this problem , access control lists ACLs(Access Control List) acts as network security management ,effectively restricting user’s access time, flow control, improving the operations of the campus network QoS.
【 Keywords 】 network security;ACL;QoS;security strategy
1 前言
随着计算机网络技术的飞速发展,校园网络用户的不断增加,计算机网络为学校提供资源共享的平台,方便在校职工办公、学生学习交流,为校园文化建设提供了渠道。但是,校园网络规模的不断扩大,由此而产生了一系列问题:学校数据的安全性、学生访问Internet的时间、学校内部各部门之间的互访、计算机病毒的入侵等。因此,为了保证校园的教学秩序能正常运行,采用ACL(Access Control List)访问控制策略,以满足校园网络安全的要求。
2 ACL简介
ACL(Access Control List)是基于包过滤技术的一种控制访问的网络技术手段,是路由器和交换机接口上的列表指令,用来控制进出端口的数据包,以达到某种访问控制。信息节点间通信和内外网络的通信都是网络的业务需求,通过控制访问手段、安全策略过滤网络中的流量,保护非授权用户访问内部网络特定资源,保证内网资源的安全性,同时控制计算机病毒的入侵。
3 ACL执行过程
ACL通过接入控制列表可以在路由器、三层交换机上进行网络安全性配置,实现对进入路由器、三层交换机的输入数据流进行过滤。过滤输入数据流可以是基于网络地址、TCP/UDP的应用等,可以选择对符合过滤规则的数据流是转发还是丢弃,从而达到访问控制的目的。一个端口上允许有多条ACL,则按照列表中的条件语句顺序执行判断,如果一个数据包的包头跟表中某个条件判断语句相匹配,则执行,后面的语句忽略。如果与第一条判断条件语句不匹配,则执行ACL的下一条判断条件语句,依次类推,直到找到相匹配的语句出口,数据立即发送到目的接口。如果所有的ACL判断语句都检查完,没有匹配的语句出口,则丢弃当前数据包。
4 ACL分类
访问控制列表主要有两类:标准访问控制列表(Standard ACL)和扩展访问控制列表(Extended ACL)。标准访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤,阻止或者允许某一特定网络的所有通信流量,或者是拒绝某一协议簇的所有通信流量。列表编号范围:1-99和1300-1999。扩展访问控制列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤,可以具体定义到某个服务,比标准访问控制列表提供了表情广泛的控制范围。列表编号范围:100-199和2000-2699。其他的还有时间控制ACL、专家级访问ACL、MAC地址ACL等。ACL访问控制列表的主要动作为允许(Permit)和拒绝(Deny),主要的应用方法是入栈应用(In)和出栈应用(Out)。入栈应用是指由外部经该接口进行器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
5 ACL在校园网中的应用
在校园网络中,要保证网络的正常安全运行,采用ACL 技术和VLAN技术互相结合,能保证服务质量QoS。VLAN(Viutual Local Area Network)虚拟局域网技术,是一种通过将局域网内的设备逻辑地划分成一个个网段的技术,所以同一个VLAN内各个工作站无需被放置在同一个物理空间里面,只要按照不同部门划分虚网,这样就可以满足大中小型企业和校园园区网中,避免地理位置的限制来实现组织结构的合理化分布。划分VLAN可以限制广播范围,形成虚拟工作组,动态管理网络,能有效地解决冲突域、广播域、带宽问题,提高网络性能。在校园网络中,由于地理位置和部门的不同,而对网络中相应的数据和资源就有不同的权限要求,例如财务部门和人事部门的数据不容许学校其他部门的人员和学生用户看到或者侦听者截取到,以提高数据的安全性,利用VLAN技术的限制不同工作组间的用户二层之间互访,就可以解决问题。 5.1 部门控制
校园网络划分多个虚拟局域网VLAN,各个部门之间数据的保密性严谨,防止机密数据丢失、泄露。通过标准ACL实现不同网段之间互相访问的安全控制。例如:学校的人事处部门可以访问财务部,后勤处部门不能访问财务部。主要配置如下:
Switch2(config)#access-list 10 deny 192.168.20.0 0.0.0.255;
Switch2(config)#access-list 10 permit192.168.90.0 0.0.0.255;
Switch2(config)#interface fasterthernet 0/6;
Switch2(config-if)#ip access-group 10 out。
5.2 流量控制
校园网使用用户众多,部分用户会使用电炉(eMule)、BT、迅雷等下载工具下载资源,这些占用高带宽的网络下载工具,影响了校园网的正常使用,给校园网络造成了极大的伤害。eMule是一个开源免费的P2P文件共享软件,基于eDonkey2000的eDonkey网络,默认启动时自动将Windows XP的防火墙中是打开连接设置里面的TCP/UCP端口。公网用户可以通过关闭防火墙或在防火墙里为eMule设置相应的端口。电炉(eMule)占用TCP端口为4662、UDP端口为4672、BT通常占用6881—6889之间的端口。ACL通过一定的规则过滤数据包并且丢弃不希望抵达目的地的数据包来控制流量,有效地减少不必要的通信流量,从而保证校园网络带宽的正常使用,提高网络性能。主要配置如下:
R1(config)#access-list 110 deny tcp any any eq 4662;
R1(config)#access-list 110 deny udp any any eq 4672;
R1(config)#access-list 110 deny tcp any any range 6881 6889;
R1(config)#access-list 110 permit ip any any;
R1(config)#interface f0/1;
R1(config)#ip access-group 110 in。
5.3 应用服务的访问控制
高校校园网络是一个开放的环境,教职工、学生是比较活跃的网络用户,用户数量大,对互联网络充满好奇,敢于探索。在空闲时间会尝试使用学到的各种网络攻击技术,在校园网络当中实践,满足自己的好奇心,这就可能会对校园网络安全造成一定的影响和破坏。利用IP扩展访问控制列表实现应用服务的访问控制。例如:在Switch 2上连着学校提供的WWW和FTP的服务器,另外还连着学生宿舍楼、教工宿舍楼,学校规定学生只能对服务器FTP进行访问,不能对WWW服务器进行访问,教工则没有限制。主要配置如下:
Switch2(config)#ip access-list extended denystudentwww;
Switch2(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq www;
Switch2(config-ext-nacl)#permit ip any any;
Switch2(config)#interface vlan 10;
Switch2(config-if)#ip access-group denystudentwww in。
5.4 上网时间控制
信息化高速发展时代,大部分学生都有自己的电脑,对学习也处于比较放松的状态,自觉性和自我约束能力比较差,只要学生交纳费用就可以随时使用网络,这既为学生提供了方便,也带来了问题。部分学生因为上网看电影、玩游戏等娱乐通宵,导致第二天上课没精神,甚至缺课,部分学生还沉迷当中,严重影响了其正常的学习、生活规律。并且,在实验室上课,部分学生也漫游Internet,影响正常的教学秩序,无法完成教学任务。为了减少这些问题的发生,学校可以利用ACL技术,加入有效的时间范围来更合理地有效控制网络,对学生宿舍网络、实验楼网络限定上网的时间。例如:限定2012年3月1日到2012年6月30日每逢周一至周五早上00:00到早上8:00,学生宿舍网络、实验楼网络都不能上网。主要配置如下:
R1(config)#time-range limit;
R1(config-time-range)#absolute start 00:00 1 March 2012 end 8:00 30 june 2012;
R1(config-time-range)#periodic weekday 00:00 to 8:00;
R1(config)#access-list 130 deny ip 192.168.10.0 0.0.0.255 any limit;
R1(config)#access-list 130 deny ip 192.168.50.0 0.0.0.255 any limit;
R1(config)#access-list 130 permit ip any any;
R1(config)#interface fastethernet 0/1;
R1(config-if)#ip access-group 130 in。
5.5 过滤攻击
计算机网络是个开放环境,当中会有人利用一些工具进行网络服务器攻击和访问,为了防止服务器资料被截取、篡改和服务器瘫痪。专家访问列表用于过滤二层、三层和四层数据流,可以利用MAC地址、IP地址、VLAN号、传输端口号、协议类型、时间ACL等进行灵活组合,定义规制。利用专家级访问列表,根据攻击方的IP地址和MAC地址等进行绑定,拒绝其访问服务器。例如:校园网中监测到IP地址为:192.168.10.11 、MAC地址为:00A0.9534.8653经常性进行攻击。可以定义如下ACL列表: Switch2(config)#expert access-list extended check1;
Switch2(config-ext-nacl)#deny ip host 192.168.10.11 host 00A0.9534.8653 192.168.100.1 any;
Switch2(config-ext-nacl)#permit any any any any;
Switch2(config)#interface fastethernet 0/5;
Switch2(config-if)#expert access-group check1 in。
5.6 病毒防范
安全是当前网络当前面临的一个大问题,目前公用通信网络中总存在着各种各样的漏洞和威胁。计算机病毒感染方式已从单机的被动传播变成了利用网络的主动传播,不仅带来网络的破华,而且造成网上信息的泄露,特别是专用网络上的,病毒感染已成为网络安全的严重威胁。网络病毒、引导型病毒、蠕虫病毒、木马程序、变型病毒等严重影响校园网络运行甚至瘫痪。防火墙和杀毒软件可以对病毒起到防范作用,也可以通过配置ACL访问控制列表来完成。常见的病毒冲击波端口:69、135、4444;W32.SQLExp.Worm蠕虫病毒端口:1434;Win32.Rbot蠕虫病毒端口:139、445;Dvldr32 蠕虫病毒端口:5800、5900、6667;Kibuv.B病毒端口:5000等,通过禁止相应端口数据流进入达到病毒防范。主要配置如下:
R1(config)#access-list 140 deny udp any any eq 69;
R1(config)#access-list 140 deny tcp any any eq 135;
R1(config)#access-list 140 deny tcp any any eq 444;
R1(config)#access-list 140 deny udp any any eq 1434;
R1(config)#access-list 140 deny tcp any any eq 139;
R1(config)#access-list 140 deny tcp any any eq 445;
R1(config)#access-list 140 deny tcp any any eq 5800;
R1(config)#access-list 140 deny tcp any any eq 5900;
R1(config)#access-list 140 deny tcp any any eq 6667;
R1(config)#access-list 140 deny tcp any any eq 5000;
R1(config)#access-list 140 permit ip any any;
R1(config)#interface s1/0;
R1(config-if)#ip access- group 140 in。
校园网络的稳定、安全运行对学校的正常运作起到了关键性作用。在交换机和路由器上应用ACL访问控制列表对校园网络安全起到了一定的防范保护作用,为校园网安全稳定的运行打好基础。
参考文献
[1] 孙建华.实用网络设计与配置.人民邮电出版社,2009.
[2] 王凤英.访问控制原理与实践.北京邮电大学出版社, 2010.
[3] Cisco Systems.思科网络技术学院教程(第一~四学期)(第三版).人民邮电出版社,2004.
[4] 何林波.网络设备配置及管理技术.北京邮电大学出版社,2010.
[5] 杨丕怀.利用ACL在校园网内实现安全管理.电脑知识与技术,2007.
作者简介:
黄悦(1986-),女,广东肇庆四会人,就职于广东南方职业学院(原广东江门艺华旅游职业学院),高校助教,华南理工大学在职研究生;研究方向:计算机网络技术。
