访问控制列表在高校校园网络安全中的应用

【摘要】访问控制列表作为网络防御外来攻击的重要控制策略，对整个网络的安全防护起着至关重要的作用。在高校校园网的管理过程中，人们可以结合高校教学工作的自身特点，根据不同功能场所对网络及数据安全的不同要求，灵活运用访问控制列表的相关技术来构建相应的网络安全策略。

【关键词】访问控制列表;校园网;网络安全

网络的迅猛发展伴之而来的是网络的安全问题，任何使用网络的单位、个人都需要时刻注意自己的网络安全问题，高校也不例外。作为网络传输过程中的常见设备――路由器，不少人和单位仅仅认识和利用了它的一个基本功能――路由，实际上路由器作为信息数据流出入的必经之路，还可以用访问控制列表来作为防御网络外来攻击的一种重要控制策略。

1.访问控制列表及功能

访问控制列表（Access Control List，ACL）是应用到路由器和交换机接口的指令列表，用来控制端口进出的信息流。通过对数据包做相应的过滤、匹配，进而告诉路由器哪些数据包可以接收，哪些数据包需要拒绝，其目的是为了对某种访问进行控制，从而起到保护相关设备，以及网络安全的作用。

所谓访问控制列表（Access Control List，ACL），是指应用到路由器和交换机接口的一组条件控制指令列表，用来控制端口进出的信息流。它通过对数据包做相应的过滤、匹配，进而告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。因此，访问控制列表对整个网络的安全防护起着至关重要的作用。访问控制列表目前有两种基本分类：标准访问控制列表和扩展访问控制列表。标准访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作，功能较为单一，其编号范围是从1到99;扩展访问控制列表比标准访问控制列表具有更多的匹配项，包括检查数据包的源地址、目的地址、源端口号、目的端口号、协议类型、IP优先级和连接建立等，其编号范围是从100到199。特定协议类型以及TCP等。相对而言，扩展访问控制列表表现出了较标准访问控制列表所不具备的灵活性。

访问控制列表的主要功能在于：阻止非法用户访问、使用特定的网络资源或限定特定用户的网络访问权限。另外，还可以限制网络流量、提高网络性能，也可在路由器端口处决定转发或阻塞某种类型的通信数据流等。

2.访问控制列表在校园网络安全网中的应用

为了确保网络安全，网络安全工程师往往根据网络安全具体需要，在路由器等设备上建立一系列访问控制列表，巧妙地将多种网络访问控制列表策略结合起来使用。作为高校校园网的管理，我们认为网络安全不只是简单的防毒、防木马，更是应结合高校教学工作的本身特点，根据高校教学、生活各场所对网络及有关数据安全的不同要求，网络管理员可以运用访问控制列表技术在对应的网络设备上设定相应的网络访问控制列表的安全策略，起到一种人为的控制和约束效果。举例如下：

2.1 限制学生访问的网络资源

针对学生非法访问网络资源，甚至恶意攻击学校网络设备与服务器，可以设置合理、稳妥的访问控制列表来限制学生所在网段的计算机访问学校的服务器（如管理服务器）。假设学生所在网段为192.168.1.100/22，其他校园网内的用户网段为192.168.0.100/22，为了防止学生恶意攻击相关服务器，同时又不影响其他用户的正常访问网络资源，可以在相关网络设备上设置如下访问控制列表，并将其应用到相关接口上。

Router （config）#access-list 1 deny 192.168.1.0 0.0.0.255

Router （config）#access-list 1 permit any

Router （config）#interface ethernet 0/0

Router （config）#ip access-group 1 in

高校教室、实验室一般是提供给学生学习、做实验的场所。作息时间，为了确保学生能够做到自律，认真学习，防止他们去做一些与学习无关的事情（聊QQ、玩网络游戏等），这就需要网络管理员在对应的网络设备上设定相应的网络访问控制列表。假设电影、聊QQ、玩网络游戏之类的资源放在校园网网段为192.168.2.0的的FTP服务器上，而学生教室或实验室网段为192.168.3.0，这里就可采用一下的访问控制列表配置策略实现相应要求：

Router（config）#access-list 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww

Router（config）#access-list 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp

Router（config）#access-list 102 permit ip any any Router（config）#int E1

Router（config）#ip access-group 102 out

2.2 某些场所需要单向网络访问控制

教务处、任课教师的办公室往往会存一些试卷等秘密信息或数据，因此不宜让学生访问，但是教务处、教师办公室网段要能访问学生的教室、实验室的电脑，以便对学生上课、做实验等情况进行监控。假设教师的办公室网段为192.168.1.0，教室或实验室网段为192.168.3.0，这样，要达到192.168.1.0网段到192.168.3.0网段的单向访问控制，网络管理员可采用如下的访问控制列表进行策略配置：

Router（config）#access-list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 estaelished

Router（config）#access-list 101 permit tcp any any

Router（config）#int E2

Router（config）#ip access-group 101 in

2.3 网络管理员需要远程控制

在校园网络安全管理过程中，为了方便网络管理员对校园内各种网络设备的管理，网络管理员可以通过远程登录的方法对遍布校园各个角落的路由器、交换机、防火墙进行配置，制订网络安全策略，阻止其他人员对网络设备进行远程访问和登陆，确保只有网络管理员的网络IP地址才能够访问该网络设备。假设网络设备所处网段为10.1.100.0，管理网段为10.1.300.0，在相关网络设备上可采用如下访问控制策略，并将其应用到相关接口上，从而只允许上述管理网段对设备访问。

Router （config）#access-list 101 permit ip 10.1.300.0 0.0.0.255 10.1.100.0 0.0.0.255

Router （config）#access-list 101 deny ip any 10.1.100.0 0.0.0.255

Router （config）#interface ethernet 0/0

Router （config）#ip access-group 101 in

2.4 限制来自P2P和网络游戏蚕食带宽流量

据相关数据显示，在高校校园网中50～90%的总流量都来自P2P，其蚕食着大量带宽，常常导致校园内对实时性要求较高的如多媒体教学、电视电话会议、教师教学科研上网和校园办公OA等无法正常的开展（谢大吉，2011）。对此，可以利用访问控制列表将其它不常用的端口关闭掉，阻断大部分P2P流量和网络游戏。目前主流的网络视频、聊天软件、在线游戏大多采用P2P技术。这些P2P软件或游戏有些是用一些固定的端口，但有些P2P工具无法确定所使用的端口号，因而最好的办法就是把除正常业务需要所使用的端口如http的80端口、ftp的21，22端口、telnet的23端口等外，在相关网络设备上通过访问控制列表将关掉其它不常用的端口，从而使得大部分P2P软件和网络游戏无法正常使用，保证正常网络业务开展。

3.结语

通过采用访问控制列表以上的系列配置策略，可对目前高校校园网构建起基本的网络安全体系。但是，在具体的网络安全防护中，访问控制列表并没有被充分地利用，也有的运行不当还可能造成网络资源浪费，降低网络的服务效率。

因而，在构建安全、可靠的网络环境时，应当结合网络安全具体需求和设备的实际支持功能，合理的配置与部署访问控制列表，这样才能既保护网络安全，又发挥了网络的服务效率。

参考文献

[1]斯桃枝，姚驰甫.路由与交换技术[M].北京：北京大学出版社，2008.

[2]莫林利.使用ACL技术的网络安全策略研究及应用[J].华东交通大学学报，2009（12）.

[3]谢大吉.网络管理中访问控制列表应用探讨[J].中国科技信息，2011（2）.

作者简介：王尊（1992―），男，江苏淮安人，南京理工大学电光学院通信工程专业2011级本科生，研究方向：无线通信。