訪問控制列表在校園網安全防護中的應用

◆龐 鐳(首都經濟貿易大學教育技術中心 北京 100070)

訪問控制列表在校園網安全防護中的應用

◆龐 鐳
(首都經濟貿易大學教育技術中心 北京 100070)

隨著校園網交換和無線設備的不斷增加，病毒攻擊、非法訪問等現象時有發生。本文以某高校校園網為例，對訪問控制列表在校園網有線網部分和無線網部分的防病毒應用進行說明。對傳統模型和更新后的模型進行了對比，并給出了具體的配置策略，達到了保障校園網安全的目的。

訪問控制列表；安全防護；入站過濾；出站過濾

0 引言

近年來，高等院校信息化建設飛速發展，校園網作為信息化建設的基礎設施部分，其規模和應用服務范圍不斷擴大。校園網交換設備和無線接入點數量逐年增加，與此同時，校園網上的各種網絡應用逐漸豐富，對校園網的病毒攻擊、非法訪問等現象時有發生。例如，今年5月份波及全國的“勒索”病毒，國內部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業論文被鎖定加密，無法正常讀取。這就對校園網的安全防護策略提出了更高的要求。

1 訪問控制列表簡介

訪問控制列表可以應用在不同的網絡設備上，例如核心交換機、匯聚交換機、接入交換機以及無線控制器等。通過在校園網各級交換機、無線控制器上配置訪問控制列表，可以對病毒、流量等進行控制，保護校園網的安全。本文以某高校校園網為例，對訪問控制列表在校園網有線網部分和無線網部分的防病毒應用進行說明。

2 校園網有線部分訪問控制列表的實現

2.1 傳統模型

傳統的訪問控制列表的配置思路是：在每臺接入交換機的端口in方向進行數據過濾，同時，在匯聚交換機的端口做in方向的過濾，在匯聚交換機的上聯端口做in和out雙方向的過濾。

interface GigabitEthernet0/2

noswitchport

ip address 192.168.17.98 255.255.255.252

ip access-group defenceVirus in

ip access-group defenceVirus out

但這種配置方式存在的問題是：當同一臺接入交換機內有多個VLAN時，病毒會在多個VLAN間傳播。同理，當同一臺接入交換機存在多個VLAN時，若在接入交換機的上聯口in方向做控制時，無法做到區別VLAN，會對交換機內所有VLAN進行數據過濾。

2.2 更新后的模型

2.2.1標準訪問控制列表

控制VTY（Telnet/SSH）訪問

為切實抓好農民用水戶協會人員培訓工作，培訓中心工作人員深入到平羅縣頭閘鎮頭閘村、青銅峽市峽口鎮漢渠村、中衛市常樂鎮棗林村等地進行調研，一方面征求鄉鎮黨委、政府主要領導對開展此項工作的建議意見，積極爭取鄉鎮黨政的重視和支持，另一方面深入村組了解成立農民用水戶協會的意見，了解農民用水戶組織發展狀況、存在問題，了解協會的運行、管理情況以及急需掌握的技能要求、是否參加過類似培訓、有無培訓要求和愿望等情況。通過深入細致的調研，獲得了農民用水戶協會最直接最迫切的需求，使培訓緊密結合實際，有的放矢。

要禁止用戶以Telnet或SSH方式訪問交換機很難，因為每個活動接口都允許VTY訪問。這時，就可以創建一個標準IP訪問控制列表來控制對 VTY線路的訪問。用來控制訪問權限，匯聚交換機并非在任何地方都能以Telnet方式訪問，僅限網絡管理員通過堡壘主機和限定的IP地址段訪問。做如下配置：

ip access-list standard telnet

permit 192.168.24.28 log

permit 192.168.65.0 0.0.0.255 log

permit 192.168.67.0 0.0.0.255 log

deny any log

2.2.2 擴展訪問控制列表

使用擴展訪問控制列表，可以指定源地址、目標地址、協議以及標識上層協議或者應用程序的端口號。在這里，我們選擇對使用TCP和UDP的應用層協議進行過濾，這里源地址選擇any，目標地址選擇 any。指定源地址和目標地址后，需要指定要拒絕的服務，使用命令 equalto，簡寫為 eq，后面加端口號，也可以使用應用程序名。

與傳統模型相同，首先在接入交換機的各個端口進行 in方向入站過濾，同時，在匯聚交換機上聲明的各個VLANout方向做出站過濾，例如：對于Vlan611，做如下配置：

interface Vlan611

description User#1F

ip address 10.10.200.1 255.255.255.0

ip access-group defenceVirus out

這樣配置后，就可以靈活地針對單個VLAN進行數據過濾，并且當病毒存在時，可以將病毒傳播范圍控制在單個 VLAN內部，大大提升了校園網的安全等級，限制病毒傳播范圍。

3 校園網無線部分訪問控制列表的實現

圖1 校園無線網訪問控制模型

無線控制器上的訪問控制列表 ACL與交換機上的工作是不一樣的，無線控制器上的訪問控制列表用于限制或允許無線客戶端訪問無線局域網內的服務。可以從兩個方面進行數據包過濾，一是作用于每個無線控制器上無線客戶端 VLAN的入站和出站方向；二是在無線SSID的入站方向進行過濾。這里以思科無線控制器為例，校園無線網訪問控制模型如圖1所示。訪問控制列表只能配置在動態的Interface上。

3.1 無線控制器訪問控制列表配置規則（1）允許無線客戶端與校園網無線 DHCP服務器之間的DHCP數據；

（2）允許網絡中所有設備之間的ICMP數據；

（3）允許無線客戶端與DNC服務器之間的DNS數據。

3.2 與有線網訪問控制列表的區別

（1）無線控制器的in方向是指數據包從無線客戶端進入無線控制器，out方向是指數據包從無線控制器去往無線客戶端。無線控制器的訪問控制列表應用到端口上會對in方向和out方向兩方面的流量進行過濾；

（2）若源地址和目的地址其中一個不是any，則需要指定過濾的方向，且需要定義相反方向的語句；

（3）無線控制器的訪問控制列表末尾有默認的deny。

3.3 具體配置

無線控制器的訪問控制列表可以在GUI下進行配置。

進入無線控制器GUI，選擇Security>Access Control Lists，命名一個新的ACL,例如：命名defenceVirus的IPv4類型的訪問控制列表。我們選擇對使用TCP和UDP的應用層協議的數據包進行過濾，這里源地址設置為0.0.0.0，目標地址設置為0.0.0.0，同時需要指定要拒絕的服務端口號。

對于無線控制器，訪問控制列表創建完成后，需要應用到動態的Interface上方可生效。選擇Controller>Interfaces，然后編輯想要應用訪問控制列表的Interface，從Access Control List的ACL Name下拉菜單中心選擇之前命名的defenceVirus。

進行如上操作后，訪問控制列表就會允許或者拒絕校園無線網中使用該動態Interface的數據流量，從而起到保護校園網安全的作用。

4 結束語

基于有線網新模型和無線控制器的訪問控制列表配置生效后，對于校園網中存在的病毒和需要過濾的數據包發揮了良好的阻攔作用，對保障校園網安全起到了關鍵作用。