基于ACL的高校校園網網絡流量安全控制策略分析

姚建偉 孫良旭（指導教師） 遼寧科技大學

基于ACL的高校校園網網絡流量安全控制策略分析

姚建偉 孫良旭（指導教師） 遼寧科技大學

ACL（Access Control List）即訪問控制列表，它是指路由器與交換機接口的指令列表，專門用來控制路由器與交換機端口進出的數據包。為了穩定擴大網絡規模，優化安全使用狀況，增加網絡流量，當前高校校園網就在使用ACL應用技術，利用它的數據包判斷、分類與過濾能力來優化網絡流量安全控制過程。文中簡要探討了ACL技術在高校校園網網絡流量安全控制方面的基本作用與相關策略。

ACL 高校校園網 網絡流量安全控制策略 作用

當前高校校園網網絡流量的主要構成就包括了HTTP、P2P和對等網流量3種類型，它們保證校園網始終以數字信息平臺作為基本載體，推動了校園內網絡信息資源與教學資源的互動與共享進程。而ACL技術的加入則對校園路由器訪問控制列表進行了新一輪的改善，它重新設置了路由器與交換機出入口的訪問規則，對校園網絡安全管理實施了合理化把控。

1 、ACL技術在高校校園網流量安全控制中的實際作用分析

ACL主要經過交換機、路由器等設備來實現數據包訪問控制列表設置，對其中的判斷語句進行有效匹配。當匹配符合以后，列表就會自動忽略后面語句，這代表語句已經通過訪問。而如果不匹配，則要繼續通過訪問列表進行后續匹配，不匹配的數據包則會被淘汰，如圖1。

圖1 ACL的實際工作流程示意圖

目前在高校校園網流量安全控制體系中擁有3種ACL技術，它們分別負責對標準數據包源地址的檢查、對數據包源地址與目標地址的擴展，以及對數據包源地址與目標地址的時間控制，進而達成對上網有效時間的控制。這些功能在高校校園流量安全管控方面都具有重要的實踐價值。除此之外，ACL技術在高校校園網網絡流量安全控制方面還存在3點作用。

第一，它能夠保障校園網在實際運行使用過程中的安全性，避免外來病毒與木馬的侵入。當前對高校校園網威脅最大的無疑是網絡病毒，而通過ACL技術則可以實現對不安全網絡地址、包括網絡端口、交換機端口與路由器端口的封鎖，全面實現網絡安全維護目標。

第二，它能夠優化校園網網絡流量使用。現如今，ACL技術可以允許校園網內部主機與外網主機相互連接，但嚴禁外網主機主動與內網主機連接，這也是為了控制校園網大量帶寬與資源內容，控制費學習與教學活動網絡資源在校園網內部的傳播過程，這也是對校園內網絡流量的間接控制，保證校園網網絡流量資源的合理分配與優化應用。

第三，它能夠合理控制大學生用戶的上網時間。目前大學生是我國網絡用戶的主力群體，他們對于網絡的依賴最為嚴重，在自我約束與限制能力方面表現較差。所以高校采用ACL技術也是為了對校園網用戶上網時間采取強制控制，包括對地點與信息內容的強制性管控，保證大學生健康上網。

2 、ACL技術在高校校園網流量安全控制中的策略分析

當前高校校園網發展迅速，信息化建設進程已經大行其道，像智慧校園、移動校園等等全新校園網理念已經逐漸滲透，而大學生網民無論是學習還是娛樂、交流對于校園網網絡的依賴都越來越大。為此，基于ACL技術的流量安全控制策略提出是有必要的，為此本文也論述了以下兩點策略。

2.1 對外來黑客病毒傳播與入侵的防范

當前外來黑客病毒對于Windows系統的漏洞攻擊相當猛烈，嚴重時甚至會導致網絡癱瘓與宕機，一般被病毒程序掃描的UDP端口就包括了135、138、445、1434等等，而TCP端口方面則包括了135、137、138、139、4444、9995等等，這些端口非常容易被識別且被攻擊。而基于ACL技術對端口配置deny語句就可以阻止病毒傳播，包括實現對于ICMP數據包的有效過濾，再通過PING命令來探測主機中所有的在線病毒程序。一般來說可能會出現PING不通狀況，它也能夠在一定程度上降低網絡中毒概率，它的具體配置如下：

Access-list 199 deny tcp any eq 136

如果在病毒掃描端口識別病毒過程中病毒的種類不斷演變進化，則還可以基于ACL技術來定期優化防毒策略，將其配置于本地網絡中。但需要注意的是，絕對不能抄襲其他配置規則，這樣可能會引發ACL技術的失效，無法實現網絡流量安全控制。

2.2 對網絡流量的有效控制

目前像迅雷、QQ下載、網盤等等是比較流行的P2P下載工具，它們在帶寬占用方面也較高，容易導致網絡緩慢。ACL需要掌握這些P2P軟件的端口號，例如迅雷的常用端口號就是3076和3078，運用ACL技術對迅雷軟件實施點對點控制，設置高校校園網的正常辦公時間段，例如從上午8點～下午4點為辦公時段，該時段要保證辦公軟件、教學資源數據等等關鍵應用及內容的正常使用，所以可以為其配置ACL安全控制策略：

Route（config）#absoulute start 0:00 day1 end 23:59 day2 perildic weekday 8:00 to 16:00.

而學生網絡使用的專用安全控制策略則設置為：

Access-list 199 deny ip tcp any eq 6890.

如此一來，就能保證高校校園網在辦公時間段的關鍵應用不受影響，同時也控制了學生網段的網絡流量與上網時間。

總而言之，高校校園網網絡流量控制工作是相當繁瑣且系統的，基于ACL的技術內容為這一控制工作提供了合理的出口流量參考、病毒防控與網絡帶寬分配機制，保證了高校校園網的網絡服務質量。

[1]鄭志凌,李健,胡慶龍等.基于ACL的高校校園網網絡流量安全控制策略研究及應用[J].電腦知識與技術,2015(2):55-56.

[2]閆國棟.ACL技術在路由安全中的應用[J].信息通信,2015(8):83-83,84.