基于ACL的校園網安全技術

覃德澤

賀州學院計算機科學與信息工程學院 廣西 542899

0 引言

目前，各高?；窘⒘诵@網，并且規模和應用在不斷擴大。高校校園網通常由各機構或部門的局域網組成，如科研大樓局域網、學生宿舍局域網、教師宿舍局域網和行政大樓局域網等。局域網間的信息傳遞通常通過路由器來實現。校園網安全管理的一個突出問題是：用何種有效方法實現對數據流過濾或控制，即拒絕不希望的訪問鏈接，允許正常的訪問鏈接，達到確保網絡安全運行的目的。對校園網的路由器設置恰當的訪問控制列表(ACL)，能夠實現對不同的用戶進行分別管理，限定特定網段和特定流量訪問互聯網，或防止未授權用戶和未允許數據流通過互聯網訪問校園網，加強了對校園網的安全管理，有效地提高了校園網的安全性。

1 ACL技術簡介

1.1 ACL定義

訪問控制列表(Access control list,ACL)是一種路由器配置腳本，它使用分組過濾控制路由器根據分組報頭中條件決定允許還是拒絕分組。ACL還可用于選擇數據流類型，以便對其進行分析轉發或其他處理。ACL是Cisco IOS軟件中最常用的功能之一。

1.2 ACL分類及特點

ACL分為三種類型：標準ACL、擴展ACL和復雜 ACL。為了實現更多功能，可在標準ACL和擴展ACL的基礎上構建復雜ACL，復雜ACL包括動態ACL、自反ACL和基于時間的ACL。

標準ACL是最簡單的一類，只根據源IP地址允許或拒絕流量，它的編號范圍是1到99和1300到1999。擴展ACL是高級的ACL，其編號范圍是100到199和2000到2699，能夠根據若干屬性過濾IP數據包，這些屬性包括：源和目的IP地址，源和目的TCP和UDP端口，協議類型(IP、ICMP、UDP、TCP或協議號)。因為擴展ACL可以根據更多的屬性過濾數據包，所以能更加精確地控制流量過濾。

動態ACL僅當用戶使用Telnet連接路由器并通過身份驗證后，其數據流才能穿越路由器。動態 ACL在網絡安全上具有如下優點：

第一，使用詢問機制對每個用戶進行身份驗證；

第二，降低黑客闖入網絡的機會；

第三，通過防火墻動態創建用戶訪問，而不會影響其它所配置的安全限制。

自反 ACL允許數據流離開，但只允許響應路由器內部發起的會話的數據流進入。自反 ACL在網絡安全上具有如下優點：

第一，幫助保護您的網絡免遭網絡黑客攻擊，并可內嵌在防火墻防護中。

第二，提供一定級別的安全性，防御欺騙攻擊和某些DoS攻擊。自反 ACL方式較難以欺騙，因為允許通過的數據包需要滿足更多的過濾條件。

基于時間的 ACL支持根據一周或一天中的時間來控制訪問?；跁r間的ACL在網絡安全上具有如下優點：

第一，在允許或拒絕資源訪問方面為網絡管理員提供了更多的控制權；

第二，允許網絡管理員控制日志消息。ACL 條目可在每天定時記錄流量，而不是一直記錄流量。因此，管理員無需分析高峰時段產生的大量日志就可輕松地拒絕訪問。

1.3 ACL工作原理

在路由器中配置 ACL后，路由器對進或出接口的數據包進行過濾，過濾規則是：路由器讀取數據包的第三層及第四層包頭中的信息，如源IP地址、目的IP地址、源端口號、目的端口號以及協議類型等，首先與訪問控制列表的第一條語句的條件進行比對，如匹配，則按該語句中的permit或deny“允許”或“拒絕”數據流通過，不再與其它語句比較，ACL執行結束；若第一條語句不匹配，則依次往下比較第二條、第三條語句等，直到最后一條語句；如與某一語句的條件匹配，則執行該語句的permit或deny，ACL執行結束；如果所有語句都不匹配，則執行末尾的隱式deny語句，拒絕數據流通過，ACL也隨之執行結束。

2 ACL技術在高校校園網中的應用

正因為 ACL具有上述特點或優點，因此在校園網中得到了廣泛應用，例如，利用ACL技術可以限制數據流流向，設置對上網時間的控制，控制對服務器的訪問，防止病毒和網絡攻擊，限制對路由器訪問等。下面以某高校校園網為例，分析ACL技術在校園網安全中應用。網絡拓撲圖見圖1，各設備IP地址分配等情況見表1。

圖1 某高校校園網拓撲圖

表1 IP地址分配表

網絡拓撲圖中的服務器為服務器群，包括WWW、FTP、DNS和EMAIL等服務器，為了簡略，圖中只用一個服務器圖標。交換機S1所在網段(192.168.10.0)為教師宿舍網段，S2所在網段(192.168.20.0)為學生宿舍網段，S3所在網段(192.168.30.0)為行政辦公樓網段，S4所在網段(192.168.40.0)為科研機構大樓網段，S5所在網段(192.168.50.0)為信息中心機房網段。R1、R2和R3均為Cisco路由器。

2.1 限制數據流流向

教師宿舍網段(192.168.10.0)的主機上存放教師個人相關資料和數據，對學生來說往往是保密的，因此不能讓學生宿舍網段(192.168.20.0)訪問，但是教師宿舍網段可以訪問學生宿舍的計算機，以便對學生課外學習、課外作業等情況進行監控和指導。為了達到此目的，可以在路由器 R1上進行如下配置：

(1)配置標準ACL

R1(config)# access- list 1 deny 192.168.20.0 0.0.255

R1(config)# access- list 1 permit any

R1(config)# int fa0/0

R1(config-if)# ip access- group 1 out

經過上述配置，路由器 R1可以禁止學生訪問教師，但同時也禁止了教師訪問學生，因為在fa0/0的out方向上禁止了所有學生通向教師的數據流，包括學生向教師回復的數據流。因此，單純的標準 ACL不能達到上述目的，必須配置擴展ACL。

(2)配置擴展ACL

R1(config)# access- list 100 permit tcp 192.168.20.0 0.0.255 192.168.10.0 0 0.0.255 established

R1(config)# access- list 100 permit tcp any any

R1(config)# int fa0/1

R1(config-if)# ip access- group 100 in

上述擴展ACL中，第一條語句的作用是只允許學生向教師回復的數據流通過，不允許學生發向教師的數據流通過。

通過對R1配置上述的標準ACL和擴展ACL，實現只允許教師訪問學生，不允許學生訪問教師的目的。

因為不同廠商的設備 ACL配置方法有所不同，非思科路由器的具體配置方法可參考有關資料。

2.2 控制上網時間

基于時間的訪問控制列表的一個重要應用是設置訪問Internet的時間。如限定一天的某個時間、一周的某天或一月中的某天等。建立基于時間的 ACL的基本步驟分三步：第一步，定義要在 ACL中使用的時間范圍，并給其指定一個名稱；第二步，建立ACL，并在ACL中使用時間范圍；第三，將 ACL應用于接口。例如，只允許學生宿舍的所有用戶在每天的7:00到23:00可以訪問Internet，可在R2上進行如下配置：

R2(config)# time-range stu_limit //指定時間范圍名稱為stu_limit

R2(config-time-range)# periodic daily 7:00 to 23:00 //定義時間范圍

R2(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 any time-range stu_limit //創建ACL并使用時間范圍

R2(config)# int s0/1/0

R2(config-if)# ip access-group 101 out//將ACL應用于接口

2.3 控制對服務器的訪問

服務器的作用是向用戶提供共享資源和服務，是用戶重點訪問對象，同時也是惡意攻擊的首選目標，因此必須重點保護。為了防止對服務器的非正常連接與訪問，預防來自校園網內外的攻擊，可以在路由器上建立ACL，只允許與服務器對應的數據流通過，阻止其它數據流通過。例如，對目的地為WWW 服務器的數據流，只允許端口號為80的通過，對目的地為DNS服務器的數據流，只允許端口號為53的通過，對目的地為Email服務器的數據流，只允許端口號為80、25、110的通過，對目的地為FTP服務器的數據流，只允許端口號為21的通過。為此，可在路由器R2上進行如下配置：

R2(config)#access-list 102 permit tcp any host 192.168.50.254 eq www

R2(config)#access-list 102 permit tcp any host 192.168.50.253 eq ftp

R2(config)#access-list 102 permit tcp any host 192.168.50.252 eq domain

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq www

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq smtp

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq pop3

R2(config)# int fa0/0

R2(config-if)# ip access-group 102 out

2.4 防止病毒和網絡攻擊

病毒和網絡攻擊是校園網面臨的兩個重大安全問題，通常的預防措施是安裝防火墻和殺毒軟件。此外，為了進一步增強校園網絡安全性，還可以在路由器上建立 ACL來過濾病毒。我們已經知道病毒程序和網絡攻擊程序常利用的端口有 69、135，138、139、445、539、593、4444等，通過建立ACL，禁止與這些目的端口匹配的數據包通過路由器，把病毒阻止在設備之外，達到保護網絡安全的目的。例如，為了保護科研機構大樓網段(192.168.40.0)免受任何來自外界病毒和網絡攻擊，可對路由器R3進行如下配置：

R3(config)#access-list 103 deny udp any any eq 69

R3r(config)#access-list 103 deny tcp any any eq 135

R3(config)#access-list 103 deny udp any any eq 135

R3(config)#access-list 103 deny tcp anyany eq 138

R3(config)#access-list 103 deny udp any any eq 138

R3(config)#access-list 103 deny tcp any any eq 139

R3(config)#access-list 103 deny udp any any eq 139

R3(config)#access-list 103 deny tcp any any eq 445

R3r(config)#access-list 103 deny udp any any eq 445

R3r(config)#access-list 103 deny tcp any any eq 539

R3(config)#access-list 103 deny tcp any any eq 539

R3r(config)#access-list 103 deny tcp any any eq 593

R3r(config)#access-list 103 deny udp any any eq 593

R3(config)#access-list 103 deny tcp any any eq 4444

R3r(config)#access-list 103 permit ip any any

R3(config)# int fa0/1

R3(config-if)# ip access-group 103 out

2.5 限制對路由器訪問

為了確保網絡設備免受非法訪問，擅自修改配置信息，甚至進行惡意攻擊，我們可以限定只有網管員并且通過特定主機才能訪問網絡設備。例如，信息科設在行政大樓，如果限定網管員(唯一知道VTY密碼人)只能使用P41(IP地址為192.168.40.10)訪問路由器R3，可在R3上建立ACL，具體配置如下：

R3(config)#access-list 2 permit 192.168.40.10 0.0.0.255

R3(config)#access-list 2 deny any

R3(config)#line vty 0 4

R3(config-line)#login

R3(config-line)password secret

R3(config-line)#access-class 2 in

3 結束語

ACL對網絡安全的作用還有很多，上面只是列舉了幾個較典型的應用實例，用戶可以根據不同場合和不同要求恰當地利用 ACL。由于它的配置簡單易行且不用增加硬件設備,與防火墻配合使用不但提升網絡的安全性能，而且還可減輕網絡防火墻的負擔。因此，隨著 ACL技術的進一步研究和發展，其在網絡安全中將發揮越來越大作用。

[1]Bob Vachon,Rick Graziani.CCNA Exploration:Accessing the WAN[M].思科系統公司,譯.北京:人民郵電出版社.2009.

[2]莫林利.使用ACL技術的網絡安全策略研究及應用[J].華東交通大學學報.2009.

[3]陶宇清.訪問控制列表在校園網絡安全中的應用[J].電腦知識與技術.2011.

[4]沈忠誠.ACL 技術在校園網中的應用[J].電腦知識與技術.2010.

[5]任志剛.ACL技術在網絡控制及網絡安全中的應用[J].福建電腦.2010.