時(shí)間訪問控制列表實(shí)施服務(wù)器安全訪問

汪海濤 王磊 戴宏明

摘 ?要：在計(jì)算機(jī)網(wǎng)絡(luò)中，服務(wù)器對(duì)不同的客戶端提供不同時(shí)間規(guī)定的訪問服務(wù)，其他時(shí)間禁止客戶端訪問，進(jìn)行服務(wù)器數(shù)據(jù)自動(dòng)備份，提高了服務(wù)器的安全性和穩(wěn)定性。針對(duì)該需求，可以在連接服務(wù)器的三層設(shè)備上啟用時(shí)間訪問控制列表，定義好服務(wù)器允許訪問的時(shí)間規(guī)則，將該規(guī)則應(yīng)用到擴(kuò)展訪問控制列表，并把列表綁定到相應(yīng)的端口。針對(duì)某一局域網(wǎng)網(wǎng)絡(luò)連接Internet結(jié)構(gòu)，論述時(shí)間訪問控制列表技術(shù)，分析時(shí)間訪問控制列表的特點(diǎn)和應(yīng)用方法，最終實(shí)現(xiàn)服務(wù)器在時(shí)間策略上的安全訪問。

關(guān)鍵詞：時(shí)間訪問控制列表;服務(wù)器;網(wǎng)絡(luò);安全

中圖分類號(hào)：TP393 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In computer network， server provides different clients with access services specified at different times. Clients are prohibited from accessing at other times when server automatically backs up data to improve its security and stability. To meet this need， time Access Control List （ACL） is enabled on the three-tier device connected to the server and the defined time rule for accessing server is applied to the extended access control list which is bound to the corresponding port. This paper discusses the technology of time Access Control List， analyzes characteristics and application methods of the time Access Control List， and finally realizes secure server access in the time strategy for Internet structure of a certain LAN （Local Area Network） network connection.

Keywords： time Access Control List; server; network; security

1 ? 引言（Introduction）

Internet和Intranet系統(tǒng)中，某些特定的服務(wù)器對(duì)客戶端僅提供特定時(shí)間的訪問服務(wù)，其他時(shí)間禁止客戶端的訪問，這樣可以有效地提高服務(wù)器的安全性。通常在計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器連接的三層設(shè)備（例如三層交換機(jī)或路由器）上啟用時(shí)間ACL，定義好服務(wù)器允許訪問的時(shí)間規(guī)則，將該規(guī)則應(yīng)用到擴(kuò)展訪問控制列表中，最后啟用三層設(shè)備的防火墻功能，把擴(kuò)展控制列表的列表號(hào)綁定到通往服務(wù)器的相應(yīng)端口上[1]。這樣，計(jì)算機(jī)網(wǎng)絡(luò)中的客戶端訪問服務(wù)器的時(shí)候，數(shù)據(jù)包經(jīng)過(guò)該三層設(shè)備的相應(yīng)端口，防火墻就對(duì)比訪問的時(shí)間是否滿足定義的時(shí)間規(guī)則，如果滿足就允許訪問服務(wù)器，否則就拒絕訪問服務(wù)器[2]。

2 ?時(shí)間訪問控制列表的概念（The concept of time Access Control List）

我們首先來(lái)了解ACL的概念：ACL（Access Control List）即訪問控制列表;然后來(lái)了解時(shí)間ACL的概念：時(shí)間ACL根據(jù)制定的時(shí)間規(guī)則執(zhí)行訪問控制。計(jì)算機(jī)網(wǎng)絡(luò)管理者使用時(shí)間ACL，首先創(chuàng)建一個(gè)時(shí)間范圍，指定服務(wù)器被允許訪問的時(shí)段，或者是數(shù)據(jù)包被允許通過(guò)的時(shí)段[3];然后命名該時(shí)間范圍，并將該名稱應(yīng)用在對(duì)應(yīng)的擴(kuò)展訪問控制列表中。

時(shí)間ACL相對(duì)標(biāo)準(zhǔn)ACL和擴(kuò)展ACL具有很多優(yōu)點(diǎn)：

（l）數(shù)據(jù)包時(shí)間訪問設(shè)定為網(wǎng)絡(luò)管理者提供了較好的控制權(quán)[4]。

（2）網(wǎng)絡(luò)管理者能夠較好地掌握日志消息。

3 ?時(shí)間訪問控制列表定義時(shí)間的方法（The method of defining time in time access control list）

時(shí)間訪問控制列表定義時(shí)間的方法有以下兩種：

（l）相對(duì)時(shí)間范圍

相對(duì)時(shí)間范圍是按照星期來(lái)定義時(shí)間規(guī)則的，命令格式為：

time-range time-name start-time to end-time days

time-range是命令關(guān)鍵詞，后面的參數(shù)含義解釋如下：

time-name：時(shí)間范圍名，通常是英文字母和數(shù)字組合的字符串。

start-time to end-time：開始時(shí)間和結(jié)束時(shí)間，其格式是[小時(shí)：分鐘] to [小時(shí)：分鐘]。

days：表示一個(gè)星期的某一天或者是某幾天，也可以是工作日（周一到周五）或者是非工作日（周六到周日）。從周一到周日對(duì)應(yīng)的關(guān)鍵字分別是Mon、Tue、Wed、Thu、Fri、Sat、Sun。days可以用周一到周日的這些關(guān)鍵字中的一個(gè)或者幾個(gè)的組合來(lái)表達(dá)。為了方便，有的路由器、三層交換機(jī)也用數(shù)字代表，0表示星期日，1表示星期一，……6表示星期六。用其中一個(gè)數(shù)字或者幾個(gè)數(shù)字組合代表相應(yīng)的星期幾。其他的特殊關(guān)鍵字有：working-day代表工作日，即周一到周五;Daily代表一周七天，每一天;off-day代表周六和周日周末兩天[5]。

例如，現(xiàn)在制定一個(gè)時(shí)間規(guī)則，要求從每周四下午3點(diǎn)到每周五上午10點(diǎn)客戶端可以訪問服務(wù)器，其他時(shí)間不可以訪問，可以這樣配置時(shí)間范圍：

time-range aaa 15：00 to 00：00 Thu

time-range aaa 00：00 to 10：00 Fri

（2）絕對(duì)時(shí)間范圍

絕對(duì)時(shí)間范圍是按年月日具體的某一天來(lái)定義的[6]，其命令格式如下：

time-range time-name from time1 date1 [to time2 date2]

time-range是命令關(guān)鍵詞，其他參數(shù)含義和上一段參數(shù)含義類似，下面舉例說(shuō)明。例如，現(xiàn)在制定一個(gè)時(shí)間規(guī)則，要求從2021年2月1日早上9點(diǎn)半開始生效，2021年2月12日晚上8點(diǎn)停止生效，這一時(shí)間范圍客戶端可以訪問服務(wù)器[7]，其他時(shí)間不可以訪問，可以這樣配置：

time-range bbb from 09：30 2021/2/1 to 20：00 2021/2/12

4 ?時(shí)間訪問控制列表方案規(guī)劃和實(shí)現(xiàn) （Planning and implementation of time access control list scheme）

4.1 ? 方案建設(shè)原則和目標(biāo)

項(xiàng)目方案采用時(shí)間ACL應(yīng)用在相應(yīng)擴(kuò)展控制列表技術(shù)中。項(xiàng)目拓?fù)浣Y(jié)構(gòu)中的內(nèi)網(wǎng)有一臺(tái)Web服務(wù)器對(duì)內(nèi)網(wǎng)用戶和Internet中的所有客戶端提供網(wǎng)頁(yè)瀏覽服務(wù)。Web服務(wù)器對(duì)內(nèi)網(wǎng)用戶提供訪問服務(wù)的時(shí)間是周一到周日的8：00到20：00，對(duì)Internet用戶提供訪問服務(wù)的時(shí)間是周一到周五的9：00到18：00，其他時(shí)間為服務(wù)器的數(shù)據(jù)備份時(shí)間[8]。

4.2 ? 方案的總體規(guī)劃

系統(tǒng)方案結(jié)構(gòu)為企業(yè)內(nèi)部網(wǎng)接入Internet，RouterA是內(nèi)網(wǎng)的出口路由器，RouterB、RouterC為Internet的兩臺(tái)路由器，SwitchA為內(nèi)網(wǎng)的核心交換機(jī)（三層交換機(jī)）。Web服務(wù)器和核心交換機(jī)相連，PC0為Internet的客戶端和RouterC相連，PC1、PC2是內(nèi)網(wǎng)的客戶端。PC1是vlan10的客戶端，PC2是vlan20的客戶端，PC1、PC2和二層交換機(jī)相連。整個(gè)系統(tǒng)的拓?fù)鋱D如圖1所示。

4.3 ? 方案的實(shí)現(xiàn)

4.3.1 ? 整個(gè)網(wǎng)絡(luò)系統(tǒng)連通的配置

首先，配置好網(wǎng)絡(luò)拓?fù)湎到y(tǒng)的IP地址、PC客戶端和Web服務(wù)器的IP地址和默認(rèn)網(wǎng)關(guān);配置好路由協(xié)議和出口路由器的NAT;配置Web服務(wù)器的靜態(tài)NAT映射一個(gè)對(duì)外IP地址，讓內(nèi)網(wǎng)可以訪問外網(wǎng)，外網(wǎng)的客戶端通過(guò)靜態(tài)NAT映射的對(duì)外IP地址可以訪問Web服務(wù)器。

網(wǎng)絡(luò)系統(tǒng)連通性配置如以下代碼所示：

RouterA（config）#router rip

RouterA（config-router）#version 2

RouterA（config-router）#no auto

RouterA（config-router）#network 192.168.1.0

RouterA（config-router）#default information-ori

RouterA（config）#ip route 0.0.0.0 ?0.0.0.0 ?s1/0

SwitchA（config）#ip routing

SwitchA（config）#router rip

SwitchA（config-router）#version 2

SwitchA（config-router）#no auto

SwitchA（config-router）#network 192.168.1.0

SwitchA（config-router）#network 192.168.2.0

SwitchA（config-router）#network 192.168.10.0

SwitchA（config-router）#network 192.168.20.0

RouterB和RouterC是Internet路由器，配置OSPF協(xié)議。

內(nèi)網(wǎng)配置RIP協(xié)議，Internet網(wǎng)絡(luò)配置OSPF協(xié)議，出口路由器連接內(nèi)網(wǎng)的接口配置RIP協(xié)議，連接Internet的接口配置默認(rèn)路由指向外網(wǎng)，并將默認(rèn)路由注入內(nèi)網(wǎng)RIP協(xié)議中。

然后，在出口路由器上配置基于端口的NAT轉(zhuǎn)換，讓內(nèi)網(wǎng)用戶可以出去訪問Internet。配置靜態(tài)NAT轉(zhuǎn)換，給Web服務(wù)器設(shè)置一對(duì)一的地址映射，提供對(duì)外網(wǎng)用戶的訪問服務(wù)。具體配置如以下代碼所示：

RouterA（config）#access-list 1 permit 192.168.0.0 0.0.255.255

RouterA（config）#ip nat pool aaa 201.1.1.3 201.1.1.10 netmask 255.255.255.0

RouterA（config）#ip nat inside source list 1 pool aaa overload

RouterA（config）#ip nat inside source static 192.168.2.1 201.1.1.11

4.3.2 ? 配置時(shí)間訪問控制列表規(guī)則

在核心交換機(jī)上配置時(shí)間訪問控制列表的規(guī)則。因?yàn)閃eb服務(wù)器和核心交換機(jī)相連，啟用核心交換機(jī)的包過(guò)濾防火墻功能，定義好兩個(gè)時(shí)間訪問控制列表規(guī)則，一個(gè)規(guī)則定義內(nèi)網(wǎng)用戶訪問服務(wù)的時(shí)間是周一到周日的8：00到20：00，另外一個(gè)規(guī)則定義Internet用戶訪問服務(wù)的時(shí)間是周一到周五的9：00到18：00。具體配置如以下代碼所示：

SwitchA（config）#time-range aaa 8：00 to 20：00 Daily

SwitchA（config）#time-range bbb 9：00 to 18：00 Working-day

4.3.3 ? 定義擴(kuò)展訪問控制列表并應(yīng)用時(shí)間訪問控制列表

在核心交換機(jī)上配置擴(kuò)展訪問控制列表，并將上面定義的時(shí)間訪問控制列表應(yīng)用到相應(yīng)的擴(kuò)展列表，具體配置如以下代碼所示：

SwitchA（config）#access-list 100 permit tcp 192.168.10.0

0.0.0.255 host 192.168.2.1 eq www time-range aaa

SwitchA（config）#access-list 100 permit tcp any host

192.168.2.1 eq www time-range bbb

核心交換機(jī)的系統(tǒng)時(shí)間也要和當(dāng)前的時(shí)間相對(duì)應(yīng)，在核心交換機(jī)的特權(quán)模式下使用show clock命令先查看一下交換機(jī)的系統(tǒng)時(shí)間，如果不對(duì)，需要使用clock set命令重新進(jìn)行設(shè)置，如以下代碼所示：

SwitchA#show clock

0：4：25.359 UTC Mon Mar 1 1993

SwitchA#show clock

10：24：35.897 UTC Sun Feb 28 2021

由以上代碼可以看到，第一次使用show clock命令查看核心交換機(jī)的系統(tǒng)時(shí)間是1993年，后來(lái)通過(guò)設(shè)置，再查詢交換機(jī)的系統(tǒng)時(shí)間就和當(dāng)前時(shí)間一致了。

4.3.4 ? 將擴(kuò)展列表綁定到端口

因?yàn)閃eb服務(wù)器和核心交換機(jī)相連，所以保護(hù)Web服務(wù)器的職責(zé)交給核心交換機(jī)，將擴(kuò)展訪問控制列表綁定到核心交換機(jī)的相應(yīng)端口，數(shù)據(jù)包通過(guò)該接口的時(shí)候就進(jìn)行訪問控制列表規(guī)則檢查[9]。對(duì)Web服務(wù)器訪問的需求是，Web服務(wù)器對(duì)內(nèi)網(wǎng)用戶提供訪問服務(wù)的時(shí)間是周一到周日的8：00到20：00，對(duì)Internet用戶提供訪問服務(wù)的時(shí)間是周一到周五的9：00到18：00，其他時(shí)間為服務(wù)器的數(shù)據(jù)備份時(shí)間。所以列表100綁定在核心交換機(jī)的F0/1，列表101綁定在核心交換機(jī)的F0/2，綁定方向都是in，如以下代碼所示：

SwitchA（config）#int f0/1

SwitchA（config-if）#ip access-group 100 in

SwitchA（config）#int f0/2

SwitchA（config-if）#ip access-group 101 in

4.3.5 ? 系統(tǒng)測(cè)試結(jié)果

最后，測(cè)試Web服務(wù)器被客戶端訪問情況，查看內(nèi)網(wǎng)用戶是否在規(guī)定的時(shí)間可以訪問服務(wù)器，非規(guī)定時(shí)間不能訪問服務(wù)器;查看Internet用戶是否在規(guī)定的時(shí)間可以訪問服務(wù)器，非規(guī)定時(shí)間不能訪問服務(wù)器，如圖2所示。

設(shè)定當(dāng)前時(shí)間為周日10：42：20，查看內(nèi)網(wǎng)用戶和Internet用戶分別訪問Web服務(wù)器得到的響應(yīng)情況。

查看Internet用戶PC0訪問情況，PC0根據(jù)Web服務(wù)器對(duì)外映射地址201.1.1.11訪問，如圖3所示。

5 ? 結(jié)論（Conclusion）

本文主要論述了時(shí)間訪問控制列表的定義規(guī)則和應(yīng)用方法，并設(shè)定了一個(gè)系統(tǒng)實(shí)現(xiàn)不同用戶對(duì)Web服務(wù)器訪問的時(shí)間規(guī)定。系統(tǒng)集成了核心交換機(jī)包過(guò)濾防火墻技術(shù)、時(shí)間訪問控制列表技術(shù)、擴(kuò)展訪問控制列表技術(shù)。最后，系統(tǒng)成功

地實(shí)現(xiàn)Web服務(wù)器對(duì)內(nèi)網(wǎng)用戶提供訪問服務(wù)的時(shí)間是周一到周日的8：00到20：00，對(duì)Internet用戶提供訪問服務(wù)的時(shí)間是周一到周五的9：00到18：00。

參考文獻(xiàn)（References）

[1] 單慶元，閻丕濤，南峰.交換機(jī)ACL在WWW服務(wù)器安全防護(hù)中的應(yīng)用[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2019（12）：212-218.

[2] 高強(qiáng)，權(quán)循忠，葛先雷.基于時(shí)間的ACL在企業(yè)網(wǎng)絡(luò)中的實(shí)際應(yīng)用[J].長(zhǎng)春師范大學(xué)學(xué)報(bào)，2019（06）：61-66.

[3] 龐鐳.訪問控制列表在校園網(wǎng)安全防護(hù)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（10）：97-99.

[4] 孫光懿.基于訪問控制列表技術(shù)的仿真實(shí)驗(yàn)設(shè)計(jì)[J].伊犁師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2018（03）：53-58.

[5] 李勇，楊華芬.訪問控制列表在模擬器中的實(shí)驗(yàn)仿真與分? ? ? 析[J].實(shí)驗(yàn)室研究與探索，2018（12）：137-140.

[6] 孔巋然.基于時(shí)間的多層防火墻訪問控制列表策略審計(jì)方? ? ? 案[J].計(jì)算機(jī)應(yīng)用，2017（01）：212-216.

[7] 胡國(guó)強(qiáng)，蔚繼承.ACL數(shù)據(jù)包過(guò)濾實(shí)驗(yàn)在仿真器中的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)室技術(shù)與管理，2017（11）：141-144.

[8] 高靜，聶利穎，郭峰.擴(kuò)展IP訪問列表的訪問控制在模擬器CiscoPacketTracer中的仿真設(shè)計(jì)與實(shí)現(xiàn)[J].智能計(jì)算機(jī)與應(yīng)用，2016（02）：82-84.

[9] RAMPRASATH J， SEETHALAKSHMI V. Secure access of resource in software-defined networks using dynamic access control[J]. International Journal of Communication System， 2020（34）：112-115.

作者簡(jiǎn)介：

汪海濤（1978-），男，碩士，副教授.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)工程，SDN和大數(shù)據(jù).

王 ?磊（1981-），男，博士，副教授.研究領(lǐng)域：軟件技術(shù)，Web開發(fā)和大數(shù)據(jù).本文通訊作者.

戴宏明（1978-），男，博士，副教授.研究領(lǐng)域：軟件開發(fā)和大數(shù)據(jù)技術(shù).