校园网安全之ACL技术

摘要： 随着大规模开放式校园网络的开发，校园网面临的威胁也越来越多。一方面为了高校对外交流的开展，必须允许对网络资源的开发访问，另一方面，又必须确保校园网数据和资源的尽可能安全。网络安全采用的技术很多，而通过访问控制列表（ACL）可以对数据流进行过滤，是实现基本的校园网安全手段之一。

Abstract： With the development of large-scale open campus network， campus network is facing more and more threat. On the one hand， in order to develop the foreign exchange in college and universities， we must allow access to network resources development， on the other hand， we must ensure the safety of the campus network data and resources. Network security adopts a lot of technology， and through the access control list （ACL）， it can filter the data flow， is a basic one of the campus network security means.

关键词： 访问控制列表（ACL）；校园网安全；基于策略的路由（PBR）

Key words： access control list；campus network security；policy-based routing

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2013）33-0180-03

0 引言

校园网是将学校一个或多个校区的范围内，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。随着校园网络规模和功能的建设，校园网成了高校教育和科研的重要信息基础设施，承担着多项重要任务：如教学、科研、管理以及对外交流等。校园网中运行着两种信息系统：内部和外部。内部信息系统的使用限定在校园网内部，如教学管理系统、办公自动化系统和图书检索系统等，外部信息系统是对外交流的主要工具，如学校、系部的主页、电子邮件等。随着校园网的信息化建设，网络应用遍及学校各个角落，为师生提供了大量数据资源，方便了师生网上教学、交流、专题讨论等活动，为教学和科研提供了很好的平台，为学生的日常生活带来了便捷。与此同时，校园网的安全问题变的尤为重要。校园网络及其应用系统如何稳定、高校的运行，成为校园网管理者需要思考和关注的问题。

校园网络安全采用的技术很多，如防火墙技术、入侵检测系统、防病毒技术及VPN技术等，而通过访问控制列表可以对数据进行过滤，是实现基本网络安全的手段之一，ACL可以通过对网络数据流量的控制，即拒绝不希望的访问链接、允许正常的访问链接，从而达到执行安全策略的目的。对校园网的路由器设置恰当的ACL，能够实现对不同用户进行分别管理，限定特定网络和特定流量访问互联网，或防止未授权用户和未允许数据流通过互联网访问校园网，加强了对校园网的安全管理，有效地提高校园网的安全性。另外高校的校园网出口都具有两个，一个是教育网出口，一条是通过其他网络服务提供商来连接Internet，在此情形下如果来进行不同需求的数据流出口的选择。

1 ACL技术概述

1.1 什么是ACL 访问控制列表简称为ACL，使用包过滤技术在路由器上读取第三层及第四层包头中的信息，如源地址，目的地址、源端口和目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

1.2 ACL的功能和分类 ①ACL的功能。ACL可以实现如下功能：检查和过滤数据包；限制网络流量，提高网络性能；限制或减少路由更新的内容；提供网络访问的基本安全级别；控制用户网络行为；控制网络病毒的传播。②ACL的分类。根据ACL的功能不同，ACL技术可以做如下分类：标准ACL；扩展ACL；命名ACL；基于时间的ACL；动态ACL；自反ACL等。按照此顺序，ACL越来越具有防火墙的完善防护功能，故而ACL又被称为软防火墙。

1.3 ACL的基本原理和应用规则

①ACL的工作原理。ACL技术提供了一种安全访问网络选择机制，它可以控制和过滤通过网络互联设备接口上信息流，对该接口进入、流出的数据进行安全检测。实施ACL安全访问技术首先需要在网络互联设备上定义ACL规则，然后将定义好的规则应用到检查的接口上。该接口一旦激活以后，就自动按照ACL中配置的命令，针对进出的每一个数据特征进行匹配，决定该数据包被允许通过还是拒绝。在数据包匹配检查的过程中，指令的执行顺序自上而下匹配数据包，逻辑地进行检查和处理。

在ACL技术的工作过程中，为了确定路由器要过滤的有效地址范围，需要使用通配符屏蔽码，它和子网掩码的写法相似，都是一组32比特的二进制字符串，但二者具有不同的表示功能，工作原理不同。其0表示“匹配”、“检查”所对应的网络位，二进制的1表示“不匹配”对应的网络位。从应用的写法上，通配符屏蔽码和子网掩码正好相反。

②ACL的应用规则。路由器或三层交换机在检车规则时是采用自上而下在ACL条目中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。所以要把更特殊的测试条件放在列表的最前面，默认情况下，当将ACL语句添加到列表中时，它将呗添加到列表的底部或最后。而且，在每个ACL语句最后都有一条看不见的语句，称为“隐式的拒绝”语句。这条语句的目的是丢弃数据包。如果一个数据包和列表中的每条语句都不匹配，则该数据包被丢弃。

ACL位置的放置也是要认真考虑的，一般来讲，只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方。过滤数据宝的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方。

1.4 自反ACL和基于时间的ACL 标准和扩展ACL已在很大程度上满足访问控制需求，但是在实习网络应用中可能希望限制在指定时间内不能使用某些应用，而其他时间允许。在这样的需求下，新增加了一种基于时间的访问控制列表，它能够应用于扩展编号ACL或者扩展命名ACL。某些情况下要允许内网访问外网，但是不允许外网访问内网，扩展ACL可以实现TCP连接的需求，但是不能用于ICMP、EIGRP、UDP等协议数据包，自反ACL可以实现多种协议数据包类型的单向访问控制。

2 策略路由的应用

相比较于常规路由的基于目标IP和路由表进行报文的转发，策略路由是根据用户制定的策略进行报文转发，是一种比常规的基于目的路由更灵活的路由机制。路由器转发报文时，根据配置的规则对报文进行过滤。匹配成功则按照一定的转发策略进行报文转发，也可以修改报文的IP优先字段。

3 ACL和策略路由在校园网中的应用

如图1拓扑图所示，这是某高职院校的简略的网络拓扑图，网络设计为三层逻辑结构，接入层、核心层和汇聚层，由于简略图中网络规模较小，故而将核心层和汇聚层合为一层。核心层（汇聚层）采用一个三层核心交换机，接入层采用二层交换机，出口采用路由器，有两个出口，一条是教育网出口，一条是电信网出口。

网络拓扑图中的服务器为服务器群，包括WWW、FTP、DNS和邮件等服务器，为了简略，图中只用一个服务器图标。图中主要涉及到学生、教师和服务器组三类用户，采用VLAN技术，将三类用户划分到不同的VLAN中，即可以实现统一管理，又可以保障网络的安全性。在进行路由规划时，全网采用静态路由，利用三层交换机实现VLAN之间的互访。具体的IP地址规划如表1所示。

鉴于篇幅的限制，本文主要讲解ACL应用的综合性案例和策略路由在双出口校园网中的应用。要求实现内部网络的访问控制需求及内部网络与Internet及教育网的访问控制需求如下：①教师组VLAN10（192.168.10.0/24）网段的主机上存放有敏感数据，因此需限制学生组和外部网络的主机不能对其进行访问，但反之是允许的。另外学生组和教师组均可访问服务器组或连入Internet。②教师组和服务器组的主机可以在任何时候连入Internet，但学生组主机只能在周六和周日的早8点和晚10点对Internet进行访问，并且只能通过Cernet加入网络。

配置过程：①对于需求1利用标准访问控制列表和扩展访问控制列表均不能完全满足需求。利用自反特性的ACL对方案进行优化。

SW1（config）#ip access-list extended permit-list

SW1（config）#permit tcp any 192.168.11.0 0.0.0.255 reflect backlist timeout 600

SW1（config）#permit udp any 192.168.11.0 0.0.0.255 reflect backlist timeout 120

SW1（config）#permit icmp any 192.168.11.0 0.0.0.255 reflect backlist timeout 10

SW1（config）#permit any any

SW1（config）#ip access-list extended re-acl-list evaluate backlist

SW1（config）#deny ip 192.168.10.0 192.168.11.0 0.0.0.255

SW1（config）#permit ip any any

sw1（config）#interface fa 0/10

SW1（config-if）#ip access-group permit-list in

SW1（config-if）#ip access-group re-acl-list out

②需求2，要限制192.168.10.0网段主机只能在周六和周日的早8点和晚10点使用http服务，需要利用带时间范围的ACL来设置。要求192.168.10.0网段主机从Cernet网络连入Internet。

基于时间的ACL

SW1（config）#interface fa 0/11

SW1（config）#ip access-group 101 in

SW1（config）#time-range http

SW1（config）#periodic saturday 8：00 to Sunday 22：00

SW1（config）#ip access-list 101 permit tcp any any eq 80 http

策略路由实现学生组网段从Cernet网络连入Internet

R1（config）#access-list 1 permit ip 192.168.10.0 0.0.0.255

R1（config）#route-map access permit 10

R1（config-route-map）#match ip address 1

R1（config-route-map）#set ip default next-hop 210.29.15.1

R1（config-route-map）#route-map access permit 30

R1（config-route-map）#set default interface null0

R1（config）#interface fa 0/0

R1（config-if）#ip policy route-map access

4 结束语

本文中主要介绍了ACL访问控制列表的技术原理，并且结合具体的网络拓扑实例及网络管理需求，介绍了基于时间的ACL和自反ACL结合控制的具体实例，并且利用和ACL相似的策略路由技术来优化了网络出口流量控制。由于ACL的策略性强，维护工作较为繁琐，对网络管理人员的技术素质要求高。因此在具体的网络安全管理与维护中，如何使ACL技术发挥最佳的作用，以实现管理效益与网络安全之间的平衡仍然是一个需要值得探讨的问题。

参考文献：

[1]覃德泽.基于ACL的校园网安全技术[J].网络安全技术与应用，2013（3）.

[2]王芳.“路由器访问控制列表及其应用技术研究”[J].信息工程大学，2007.

[3]粟圣森.基于自反ACL和时间ACL的应用分析与网络设计[J].大众科技，2011（2）.

[4]吴刚.Cisco路由器ACL剖析[J].计算机安全，2010（9）.