ACL技術在校園網絡安全中的應用

◆陳 濤

（深圳職業技術學院教育技術與信息中心 廣東 518055）

ACL技術在校園網絡安全中的應用

◆陳 濤

（深圳職業技術學院教育技術與信息中心 廣東 518055）

ACL訪問控制列表技術，是網絡安全管理中的一項常用技術。在校園網絡設備不斷增多、網絡安全管理難度加大的環境下，本文通過在幾種應用場景下實施ACL技術，給出具體的ACL配置方法，有效地保障了校園網絡的安全。

校園網安全；訪問控制列表；網絡病毒；網絡流量

0 引言

當前，我國所有高校均建有校園網，校園網承擔著教學、科研、辦公以及對外交流等多項職能，成為了高校教育和科研的重要信息基礎設施。但隨著校園網絡規模的擴大、用戶的增多，許多的應用系統新建，校園網流量增大，隨之出現了各類安全問題，有ARP偽裝、蠕蟲病毒、Ddos拒絕服務、信息泄露、僵尸主機等問題，校園網絡安全日益突顯[1]。而ACL技術，它能提供數據報文的過濾，能保證正常的資源訪問，又能拒絕不希望的訪問連接，如果在校園網絡中應用恰當，能極大保護校園網絡，保障校園網絡的正常運行[2]。

1 ACL技術的概述

ACL(Access Control List)，即訪問控制列表，在路由器、交換機等網絡設備上配置[3]。它使用包過濾技術，對經過的數據包進行判斷和過濾，通過符合ACL規則的數據包，拒絕不符合ACL規則的數據包，從而達到訪問控制的目的。ACL規則初期僅有Cisco路由器支持，近些年來，已被擴展應用到三層交換機、二層交換機、防火墻、Web應用防火墻等網絡設備，支持廠商也由Cisco擴展到華為、H3C等公司。ACL一般可分為標準ACL和擴展ACL。標準ACL是基于源地址進行過濾，列表編號是1-99，1300-1999。擴展ACL除了提供基于數據包源地址的過濾外，還支持對協議、目的地址、端口號進行流量過濾，列表編號是100-199，2000-2699。

一個 ACL列表，可以是一條語句，也可以有多條語句，每個語句實施一條過濾規則。一般，ACL列表被配置在網絡設備的端口或 VLAN中實現。流經端口或 VLAN中的數據包，首先與ACL中的第一條語句進行匹配，匹配符合時，代表著該數據包執行這條 ACL語句規定的“允許”或者“拒絕”通過操作，并自動忽略后面的 ACL語句，接著對第二個數據包進行過濾。匹配不符合時，就依 ACL語句的順序，進行后續語句的匹配，直至匹配符合時才跳出 ACL列表，執行相應的“允許”或“拒絕”操作。如果 ACL列表語句匹配都不符合，該數據包就會被執行“拒絕”通過操作。

在配置ACL規則時，一般應當遵循3個基本原則：一是最小特權原則，只給受控對象完成任務所必須的最小的權限。二是最靠近受控對象原則，就是說，在檢查規則時是采用自上而下在ACL列表中逐一檢測，只要發現匹配符合就立刻轉發，而不繼續檢測之后的ACL語句。三是默認丟棄原則，Cisco路由和交換設備，在ACL末尾會自動加上了一條默認規則Deny any any。也就是說，一個數據包，在執行完所有的 ACL語句后，仍沒有找到匹配符合，就會拒絕這個數據包，進行丟棄。

2 ACL技術在校園網絡中的應用場景

隨著校園信息化建設的推進，移動校園、智慧校園等新理念的提出，校園網中的運行設備、信息系統和資源不斷增多，學校師生對校園網的依賴越來越大，網絡安全環境愈來愈復雜，管理難度加大。但 ACL技術具有配置簡便、快速的特點，在校園網絡的4個場景中配置適當的ACL規則，能有效防范病毒威脅，保障校園網絡的安全。

2.1 限定配置交換機、路由器的登錄主機

在校園網中，交機機、路由器是最基礎、最常見的網絡設備。隨著交換技術的發展，目前校園網中的路由器由帶路由功能的三層交換機替代，所以，接入設備均是二層或三層交換機[4]。如果不對訪問交換機、路由器的主機作限制，會出現教師、學生或是外來人員接入校園網，又知道設備的用戶名和密碼后，惡意訪問和攻擊網絡設備的情況。輕則改變交換機的端口配置，致使其它教師和學生不能上網。重則使教師和學生的上網信息發生泄露、網絡發生鏈路癱瘓等。故有必要對其進行限定主機訪問。一般的二層交換機，可以限定一個VLAN段的主機訪問，這個VLAN段是網絡設備管理員的上網VLAN段。重要的二層交換機和三層交換機，可以給予更嚴格的限制，限定幾個 IP地址進行訪問。通過在交換機上配置ACL規則來實現限定可以登錄的主機。以H3C 3952交換機為例，具體配置如下：

[Sysname] acl number 1300

[Sysname-acl-basic-1300] rule 0 permit source 10.1.20.0 0.0.0.255 #10.1.20.0/24為網管VLAN

[Sysname-acl-basic-1300] rule 5 deny

[Sysname] user-interface vty 0 4 #對Telnet用戶進行限定

[Sysname-ui-vty0-4] acl 1300 inbound

[Sysname] ip http acl 1300 #對Web用戶進行限定

2.2 阻斷網絡病毒在內網中的傳播

2017年5月12日20時，新型“蠕蟲”式勒索病毒WannaCry在全球多地爆發。WannaCry勒索病毒的傳入原理，是外網帶病毒的主機，通過連接校園內網主機的445端口，從外網向內網傳入病毒。如果內網中一臺電腦中了病毒，這臺電腦會通過訪問其它電腦開放的135、137、139等共享端口，將病毒感染給其它電腦，從而在內網中傳播蔓延。個人電腦防范勒索病毒的一個應對方法，就是關閉135、137、139等端口。關閉電腦端口這個技術措施，需要一定的專業技術知識，對于大多數校園網用戶來說，是不知道怎么操作的。而且，一些用戶偷懶不去關閉這些端口，這也能影響到整個校園網的病毒防范。因而，我們可以在個人電腦前端的接入交換機上，配置ACL規則，關閉掉135、137、139等這類端口，起到阻斷網絡病毒傳播的作用。

以H3C 3952交換機為例，具體配置如下：

[Sysname] acl number 2000

[Sysname-acl-adv-2000] rule 10 deny TCP destination 10.0.0.0 0.255.255.255 destination-port eq 135 //10.0.0.0/8為內網網段

[Sysname-acl-adv-2000] rule 20 deny UDP destination 10.0.0.0 0.255.255.255 destination-port eq 135

…… //關閉TCP、UDP的137、139端口

[Sysname-acl-adv-2000] rule 70 permit ip

[Sysname] int g1/1 //g1/1為交換機的千兆上聯端口

[Sysname-GigabitEthernet1/1] packet-filter inbound ip-group 2000 //應用規則2000

2.3 控制網絡流量

校園網中，有HTTP訪問、電子郵件、FTP、BT、視頻等這些流量。在上班時間，如果不對極大占用網絡帶寬的 BT、視頻等流量進行限制的話，會擠占其它教職工的HTTP等辦公訪問的帶寬，致使網絡丟數據包，產生網絡時延，影響教職工的上網體驗[5]。

通過在時間段的不同設置, 在正常工作時間內，限制或禁止BT下載, 不讓BT下載流量擠占正常辦公使用的帶寬, 保障校園網絡中的關鍵業務帶寬。在非正常工作時間, 允許網絡用戶利用空閑的網絡帶寬進行BT下載，享受校園網帶來的休閑樂趣。而BT下載是通過開放6880和6890這兩個端口通信來實現，因而，可以在網絡出口的交換機上配置ACL規則，達到限制BT下載流量、保障辦公流量的目的。以交換機H3C 9512為例，配置如下：

[Sysname]time-range student-limit 0:00 to 6:00 working-day #周一至周五的0-6點拒絕學生上網

[Sysname]time-range work-limit 8:00 to 17:00 working-day #周一至周五的8-17點為上班時間

[Sysname] acl number 2100

[Sysname-acl-basic-2100] rule 0 deny ip source 10.2.0.0 0.0.255.255 time-range student-limit #10.2.0.0為學生上網VLAN，拒絕學生在周一至周五的0-6點上網

[Sysname-acl-basic-2100] rule 5 deny ip source 10.2.0.0 0.0.255.255 destination-port range 6880 6890 time-range work-limit#拒絕學生在周一至周五的8-17點進行BT下載

[Sysname] int g1/25 #進入端口g1/25,g1/25為學生區域接入到H3C 9512的端口

[Sysname-GigabitEthernet1/25] acl 2100 inbound #對訪入端口g1/25的流量進行控制

2.4 限定對Web服務器的訪問和Web服務器的對外訪問

隨著校園網絡的建立和不斷完善，每個學校的校園網，均搭建了自己的的門戶網站和Web服務器系統。這些Web網站給外界提供一個了解學校的窗口，而且還支撐著各種各樣的信息服務，如學校新聞發布、校務信息的公開、學生成績的登錄和查詢、工資查詢、精品課程教學資源等。由于要對外界提供一個訪問入口，Web網站就始終暴露在互聯網中，很容易受到來自網絡的攻擊。因而，有必要限定對Web服務器的訪問和Web服務器的對外訪問，這可以通過在 Web服務器前端部署一臺防火墻，在防火墻上配置ACL規則來實現。以華為Eudemon500防火墻為例，將服務器區劃為trust區，服務器外部區劃為untrust區，在防火墻上配置訪入、訪出規則，配置如下：

Eudemon500]acl number 2000 #Web服務器訪出規則

[Eudemon500-acl-adv-2200]rule 5 permit ip source 10.1.50.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 #10.1.50.0/24為Web服務器VLAN,10.0.0.0/8為內網，允許Web服務器訪問內網資源

[Eudemon500-acl-adv-2200]rule 10 permit ip source 10.1.50.20 0 destination 183.57.48.62 0 #10.1.50.20為一個二級學院的Web服務器,183.57.48.62為api.weixin.qq.com的IP (微信公眾號接口)，允許10.1.50.20訪問微信公眾號接口

[Eudemon500-acl-adv-2200]rule 15 deny any any #除以上規則允許外，其它均拒絕

[Eudemon500]acl number 2250 #訪入Web服務器規則

[Eudemon500-acl-adv-2250]rule 5 permit tcp destination-port eq 80 #開放Web服務器的80(web訪問)端口

圖1 防火墻的trust和untrust區

[Eudemon500-acl-adv-2250]rule 10 permit tcp source 10.1.20.0 0.0.0.255 destination-port eq 3389 #對網管段開放Web服務器的3389(遠程登錄)端口

[Eudemon500-acl-adv-2250]rule 15 permit tcp source 10.1.3.0 0.0.0.255 destination 10.1.20.151 #10.1.3.0/24為財務處 Wlan段,10.1.20.151為財務管理系統，允許財務處人員訪問財務管理系統

[Eudemon500-acl-adv-2050]rule 20 permit tcp source 10.0.0.0 0.255.255.255 destination 10.1.20.152 #10.0.0.0/8為內網,10.1.20.152為校務系統，允許校內人員訪問校務系統

[Eudemon500-acl-adv-2000]rule 15 deny any any #除以上規則允許外，其它均拒絕

[Eudemon500]firewall interzone trust untrust #進入區域配置

[Eudemon500-interzone-trust-untrust]packet-filter 2200 outbound #置規則2000為訪出規則

[Eudemon500-interzone-trust-untrust]packet-filter 2250 inbound #置規則2050為訪進規則

3 結束語

ACL作為網絡安全管理中的一項常用技術，具有配置簡便、快速的特點，如果在校園網絡中應用恰當，能極大保護校園網絡，保障校園網絡的正常運行。但它存在兩個方面的局限：一是執行ACL語句會增加網絡設備的開銷。二是ACL技術過濾的是第三層和第四層包頭中的部分信息，無法控制應用級的權限訪問，要達到端到端的權限控制，需要 ACL技術與應用級的訪問控制結合使用。

[1]郭可.高校校園網絡安全技術及應用[J].電腦知識與技術，2016.

[2]謝克武.高校校園網絡安全現狀及防范對策[J].計算機安全,電子技術與軟件工程，2017.

[3]王坦，徐愛超，郭學義等.基于ACL的網絡安全策略應用研究[J].計算機安全，2014.

[4]覃德澤，張家偉.ACL技術在校園網核心設備的配置方案[J].網絡安全技術與應用，2016.

[5]劉亞鳳，肖辰，馬永新.基于 ACL的高校校園網絡流量安全控制策略探究[J].網絡安全技術與應用，2016.

2016年深圳職業技術學院科研項目（601622K37006）。