南京理工大學電光學院 王 尊
訪問控制列表在高校校園網絡安全中的應用
南京理工大學電光學院 王 尊
訪問控制列表作為網絡防御外來攻擊的重要控制策略,對整個網絡的安全防護起著至關重要的作用。在高校校園網的管理過程中,人們可以結合高校教學工作的自身特點,根據不同功能場所對網絡及數據安全的不同要求,靈活運用訪問控制列表的相關技術來構建相應的網絡安全策略。
訪問控制列表;校園網;網絡安全
網絡的迅猛發展伴之而來的是網絡的安全問題,任何使用網絡的單位、個人都需要時刻注意自己的網絡安全問題,高校也不例外。作為網絡傳輸過程中的常見設備——路由器,不少人和單位僅僅認識和利用了它的一個基本功能——路由,實際上路由器作為信息數據流出入的必經之路,還可以用訪問控制列表來作為防御網絡外來攻擊的一種重要控制策略。
訪問控制列表(Access Control List,ACL)是應用到路由器和交換機接口的指令列表,用來控制端口進出的信息流。通過對數據包做相應的過濾、匹配,進而告訴路由器哪些數據包可以接收,哪些數據包需要拒絕,其目的是為了對某種訪問進行控制,從而起到保護相關設備,以及網絡安全的作用。
所謂訪問控制列表(Access Control List,ACL),是指應用到路由器和交換機接口的一組條件控制指令列表,用來控制端口進出的信息流。它通過對數據包做相應的過濾、匹配,進而告訴路由器哪些數據包可以接收,哪些數據包需要拒絕。因此,訪問控制列表對整個網絡的安全防護起著至關重要的作用。訪問控制列表目前有兩種基本分類:標準訪問控制列表和擴展訪問控制列表。標準訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包采取拒絕或允許兩個操作,功能較為單一,其編號范圍是從1到99;擴展訪問控制列表比標準訪問控制列表具有更多的匹配項,包括檢查數據包的源地址、目的地址、源端口號、目的端口號、協議類型、IP優先級和連接建立等,其編號范圍是從100到199。特定協議類型以及TCP等。相對而言,擴展訪問控制列表表現出了較標準訪問控制列表所不具備的靈活性。
訪問控制列表的主要功能在于:阻止非法用戶訪問、使用特定的網絡資源或限定特定用戶的網絡訪問權限。另外,還可以限制網絡流量、提高網絡性能,也可在路由器端口處決定轉發或阻塞某種類型的通信數據流等。
為了確保網絡安全,網絡安全工程師往往根據網絡安全具體需要,在路由器等設備上建立一系列訪問控制列表,巧妙地將多種網絡訪問控制列表策略結合起來使用。作為高校校園網的管理,我們認為網絡安全不只是簡單的防毒、防木馬,更是應結合高校教學工作的本身特點,根據高校教學、生活各場所對網絡及有關數據安全的不同要求,網絡管理員可以運用訪問控制列表技術在對應的網絡設備上設定相應的網絡訪問控制列表的安全策略,起到一種人為的控制和約束效果。舉例如下:
針對學生非法訪問網絡資源,甚至惡意攻擊學校網絡設備與服務器,可以設置合理、穩妥的訪問控制列表來限制學生所在網段的計算機訪問學校的服務器(如管理服務器)。假設學生所在網段為192.168.1.100/22,其他校園網內的用戶網段為192.168.0.100/22,為了防止學生惡意攻擊相關服務器,同時又不影響其他用戶的正常訪問網絡資源,可以在相關網絡設備上設置如下訪問控制列表,并將其應用到相關接口上。

高校教室、實驗室一般是提供給學生學習、做實驗的場所。作息時間,為了確保學生能夠做到自律,認真學習,防止他們去做一些與學習無關的事情(聊QQ、玩網絡游戲等),這就需要網絡管理員在對應的網絡設備上設定相應的網絡訪問控制列表。假設電影、聊QQ、玩網絡游戲之類的資源放在校園網網段為192.168.2.0的的FTP服務器上,而學生教室或實驗室網段為192.168.3.0,這里就可采用一下的訪問控制列表配置策略實現相應要求:

教務處、任課教師的辦公室往往會存一些試卷等秘密信息或數據,因此不宜讓學生訪問,但是教務處、教師辦公室網段要能訪問學生的教室、實驗室的電腦,以便對學生上課、做實驗等情況進行監控。假設教師的辦公室網段為192.168.1.0,教室或實驗室網段為192.168.3.0,這樣,要達到192.168.1.0網段到192.168.3.0網段的單向訪問控制,網絡管理員可采用如下的訪問控制列表進行策略配置:


在校園網絡安全管理過程中,為了方便網絡管理員對校園內各種網絡設備的管理,網絡管理員可以通過遠程登錄的方法對遍布校園各個角落的路由器、交換機、防火墻進行配置,制訂網絡安全策略,阻止其他人員對網絡設備進行遠程訪問和登陸,確保只有網絡管理員的網絡IP地址才能夠訪問該網絡設備。假設網絡設備所處網段為10.1.100.0,管理網段為10.1.300.0,在相關網絡設備上可采用如下訪問控制策略,并將其應用到相關接口上,從而只允許上述管理網段對設備訪問。

據相關數據顯示,在高校校園網中50~90%的總流量都來自P2P,其蠶食著大量帶寬,常常導致校園內對實時性要求較高的如多媒體教學、電視電話會議、教師教學科研上網和校園辦公OA等無法正常的開展(謝大吉,2011)。對此,可以利用訪問控制列表將其它不常用的端口關閉掉,阻斷大部分P2P流量和網絡游戲。目前主流的網絡視頻、聊天軟件、在線游戲大多采用P2P技術。這些P2P軟件或游戲有些是用一些固定的端口,但有些P2P工具無法確定所使用的端口號,因而最好的辦法就是把除正常業務需要所使用的端口如http的80端口、ftp的21,22端口、telnet的23端口等外,在相關網絡設備上通過訪問控制列表將關掉其它不常用的端口,從而使得大部分P2P軟件和網絡游戲無法正常使用,保證正常網絡業務開展。
通過采用訪問控制列表以上的系列配置策略,可對目前高校校園網構建起基本的網絡安全體系。但是,在具體的網絡安全防護中,訪問控制列表并沒有被充分地利用,也有的運行不當還可能造成網絡資源浪費,降低網絡的服務效率。
因而,在構建安全、可靠的網絡環境時,應當結合網絡安全具體需求和設備的實際支持功能,合理的配置與部署訪問控制列表,這樣才能既保護網絡安全,又發揮了網絡的服務效率。
[1]斯桃枝,姚馳甫.路由與交換技術[M].北京:北京大學出版社,2008.
[2]莫林利.使用ACL技術的網絡安全策略研究及應用[J].華東交通大學學報,2009(12).
[3]謝大吉.網絡管理中訪問控制列表應用探討[J].中國科技信息,2011(2).
book=257,ebook=85
王尊(1992—),男,江蘇淮安人,南京理工大學電光學院通信工程專業2011級本科生,研究方向:無線通信。