時間訪問控制列表實施服務器安全訪問

汪海濤 王磊 戴宏明

摘 ?要：在計算機網絡中，服務器對不同的客戶端提供不同時間規定的訪問服務，其他時間禁止客戶端訪問，進行服務器數據自動備份，提高了服務器的安全性和穩定性。針對該需求，可以在連接服務器的三層設備上啟用時間訪問控制列表，定義好服務器允許訪問的時間規則，將該規則應用到擴展訪問控制列表，并把列表綁定到相應的端口。針對某一局域網網絡連接Internet結構，論述時間訪問控制列表技術，分析時間訪問控制列表的特點和應用方法，最終實現服務器在時間策略上的安全訪問。

關鍵詞：時間訪問控制列表;服務器;網絡;安全

中圖分類號：TP393 ? ? 文獻標識碼：A

Abstract： In computer network， server provides different clients with access services specified at different times. Clients are prohibited from accessing at other times when server automatically backs up data to improve its security and stability. To meet this need， time Access Control List （ACL） is enabled on the three-tier device connected to the server and the defined time rule for accessing server is applied to the extended access control list which is bound to the corresponding port. This paper discusses the technology of time Access Control List， analyzes characteristics and application methods of the time Access Control List， and finally realizes secure server access in the time strategy for Internet structure of a certain LAN （Local Area Network） network connection.

Keywords： time Access Control List; server; network; security

1 ? 引言（Introduction）

Internet和Intranet系統中，某些特定的服務器對客戶端僅提供特定時間的訪問服務，其他時間禁止客戶端的訪問，這樣可以有效地提高服務器的安全性。通常在計算機網絡服務器連接的三層設備（例如三層交換機或路由器）上啟用時間ACL，定義好服務器允許訪問的時間規則，將該規則應用到擴展訪問控制列表中，最后啟用三層設備的防火墻功能，把擴展控制列表的列表號綁定到通往服務器的相應端口上[1]。這樣，計算機網絡中的客戶端訪問服務器的時候，數據包經過該三層設備的相應端口，防火墻就對比訪問的時間是否滿足定義的時間規則，如果滿足就允許訪問服務器，否則就拒絕訪問服務器[2]。

2 ?時間訪問控制列表的概念（The concept of time Access Control List）

我們首先來了解ACL的概念：ACL（Access Control List）即訪問控制列表;然后來了解時間ACL的概念：時間ACL根據制定的時間規則執行訪問控制。計算機網絡管理者使用時間ACL，首先創建一個時間范圍，指定服務器被允許訪問的時段，或者是數據包被允許通過的時段[3];然后命名該時間范圍，并將該名稱應用在對應的擴展訪問控制列表中。

時間ACL相對標準ACL和擴展ACL具有很多優點：

（l）數據包時間訪問設定為網絡管理者提供了較好的控制權[4]。

（2）網絡管理者能夠較好地掌握日志消息。

3 ?時間訪問控制列表定義時間的方法（The method of defining time in time access control list）

時間訪問控制列表定義時間的方法有以下兩種：

（l）相對時間范圍

相對時間范圍是按照星期來定義時間規則的，命令格式為：

time-range time-name start-time to end-time days

time-range是命令關鍵詞，后面的參數含義解釋如下：

time-name：時間范圍名，通常是英文字母和數字組合的字符串。

start-time to end-time：開始時間和結束時間，其格式是[小時：分鐘] to [小時：分鐘]。

days：表示一個星期的某一天或者是某幾天，也可以是工作日（周一到周五）或者是非工作日（周六到周日）。從周一到周日對應的關鍵字分別是Mon、Tue、Wed、Thu、Fri、Sat、Sun。days可以用周一到周日的這些關鍵字中的一個或者幾個的組合來表達。為了方便，有的路由器、三層交換機也用數字代表，0表示星期日，1表示星期一，……6表示星期六。用其中一個數字或者幾個數字組合代表相應的星期幾。其他的特殊關鍵字有：working-day代表工作日，即周一到周五;Daily代表一周七天，每一天;off-day代表周六和周日周末兩天[5]。

例如，現在制定一個時間規則，要求從每周四下午3點到每周五上午10點客戶端可以訪問服務器，其他時間不可以訪問，可以這樣配置時間范圍：

time-range aaa 15：00 to 00：00 Thu

time-range aaa 00：00 to 10：00 Fri

（2）絕對時間范圍

絕對時間范圍是按年月日具體的某一天來定義的[6]，其命令格式如下：

time-range time-name from time1 date1 [to time2 date2]

time-range是命令關鍵詞，其他參數含義和上一段參數含義類似，下面舉例說明。例如，現在制定一個時間規則，要求從2021年2月1日早上9點半開始生效，2021年2月12日晚上8點停止生效，這一時間范圍客戶端可以訪問服務器[7]，其他時間不可以訪問，可以這樣配置：

time-range bbb from 09：30 2021/2/1 to 20：00 2021/2/12

4 ?時間訪問控制列表方案規劃和實現 （Planning and implementation of time access control list scheme）

4.1 ? 方案建設原則和目標

項目方案采用時間ACL應用在相應擴展控制列表技術中。項目拓撲結構中的內網有一臺Web服務器對內網用戶和Internet中的所有客戶端提供網頁瀏覽服務。Web服務器對內網用戶提供訪問服務的時間是周一到周日的8：00到20：00，對Internet用戶提供訪問服務的時間是周一到周五的9：00到18：00，其他時間為服務器的數據備份時間[8]。

4.2 ? 方案的總體規劃

系統方案結構為企業內部網接入Internet，RouterA是內網的出口路由器，RouterB、RouterC為Internet的兩臺路由器，SwitchA為內網的核心交換機（三層交換機）。Web服務器和核心交換機相連，PC0為Internet的客戶端和RouterC相連，PC1、PC2是內網的客戶端。PC1是vlan10的客戶端，PC2是vlan20的客戶端，PC1、PC2和二層交換機相連。整個系統的拓撲圖如圖1所示。

4.3 ? 方案的實現

4.3.1 ? 整個網絡系統連通的配置

首先，配置好網絡拓撲系統的IP地址、PC客戶端和Web服務器的IP地址和默認網關;配置好路由協議和出口路由器的NAT;配置Web服務器的靜態NAT映射一個對外IP地址，讓內網可以訪問外網，外網的客戶端通過靜態NAT映射的對外IP地址可以訪問Web服務器。

網絡系統連通性配置如以下代碼所示：

RouterA（config）#router rip

RouterA（config-router）#version 2

RouterA（config-router）#no auto

RouterA（config-router）#network 192.168.1.0

RouterA（config-router）#default information-ori

RouterA（config）#ip route 0.0.0.0 ?0.0.0.0 ?s1/0

SwitchA（config）#ip routing

SwitchA（config）#router rip

SwitchA（config-router）#version 2

SwitchA（config-router）#no auto

SwitchA（config-router）#network 192.168.1.0

SwitchA（config-router）#network 192.168.2.0

SwitchA（config-router）#network 192.168.10.0

SwitchA（config-router）#network 192.168.20.0

RouterB和RouterC是Internet路由器，配置OSPF協議。

內網配置RIP協議，Internet網絡配置OSPF協議，出口路由器連接內網的接口配置RIP協議，連接Internet的接口配置默認路由指向外網，并將默認路由注入內網RIP協議中。

然后，在出口路由器上配置基于端口的NAT轉換，讓內網用戶可以出去訪問Internet。配置靜態NAT轉換，給Web服務器設置一對一的地址映射，提供對外網用戶的訪問服務。具體配置如以下代碼所示：

RouterA（config）#access-list 1 permit 192.168.0.0 0.0.255.255

RouterA（config）#ip nat pool aaa 201.1.1.3 201.1.1.10 netmask 255.255.255.0

RouterA（config）#ip nat inside source list 1 pool aaa overload

RouterA（config）#ip nat inside source static 192.168.2.1 201.1.1.11

4.3.2 ? 配置時間訪問控制列表規則

在核心交換機上配置時間訪問控制列表的規則。因為Web服務器和核心交換機相連，啟用核心交換機的包過濾防火墻功能，定義好兩個時間訪問控制列表規則，一個規則定義內網用戶訪問服務的時間是周一到周日的8：00到20：00，另外一個規則定義Internet用戶訪問服務的時間是周一到周五的9：00到18：00。具體配置如以下代碼所示：

SwitchA（config）#time-range aaa 8：00 to 20：00 Daily

SwitchA（config）#time-range bbb 9：00 to 18：00 Working-day

4.3.3 ? 定義擴展訪問控制列表并應用時間訪問控制列表

在核心交換機上配置擴展訪問控制列表，并將上面定義的時間訪問控制列表應用到相應的擴展列表，具體配置如以下代碼所示：

SwitchA（config）#access-list 100 permit tcp 192.168.10.0

0.0.0.255 host 192.168.2.1 eq www time-range aaa

SwitchA（config）#access-list 100 permit tcp any host

192.168.2.1 eq www time-range bbb

核心交換機的系統時間也要和當前的時間相對應，在核心交換機的特權模式下使用show clock命令先查看一下交換機的系統時間，如果不對，需要使用clock set命令重新進行設置，如以下代碼所示：

SwitchA#show clock

0：4：25.359 UTC Mon Mar 1 1993

SwitchA#show clock

10：24：35.897 UTC Sun Feb 28 2021

由以上代碼可以看到，第一次使用show clock命令查看核心交換機的系統時間是1993年，后來通過設置，再查詢交換機的系統時間就和當前時間一致了。

4.3.4 ? 將擴展列表綁定到端口

因為Web服務器和核心交換機相連，所以保護Web服務器的職責交給核心交換機，將擴展訪問控制列表綁定到核心交換機的相應端口，數據包通過該接口的時候就進行訪問控制列表規則檢查[9]。對Web服務器訪問的需求是，Web服務器對內網用戶提供訪問服務的時間是周一到周日的8：00到20：00，對Internet用戶提供訪問服務的時間是周一到周五的9：00到18：00，其他時間為服務器的數據備份時間。所以列表100綁定在核心交換機的F0/1，列表101綁定在核心交換機的F0/2，綁定方向都是in，如以下代碼所示：

SwitchA（config）#int f0/1

SwitchA（config-if）#ip access-group 100 in

SwitchA（config）#int f0/2

SwitchA（config-if）#ip access-group 101 in

4.3.5 ? 系統測試結果

最后，測試Web服務器被客戶端訪問情況，查看內網用戶是否在規定的時間可以訪問服務器，非規定時間不能訪問服務器;查看Internet用戶是否在規定的時間可以訪問服務器，非規定時間不能訪問服務器，如圖2所示。

設定當前時間為周日10：42：20，查看內網用戶和Internet用戶分別訪問Web服務器得到的響應情況。

查看Internet用戶PC0訪問情況，PC0根據Web服務器對外映射地址201.1.1.11訪問，如圖3所示。

5 ? 結論（Conclusion）

本文主要論述了時間訪問控制列表的定義規則和應用方法，并設定了一個系統實現不同用戶對Web服務器訪問的時間規定。系統集成了核心交換機包過濾防火墻技術、時間訪問控制列表技術、擴展訪問控制列表技術。最后，系統成功

地實現Web服務器對內網用戶提供訪問服務的時間是周一到周日的8：00到20：00，對Internet用戶提供訪問服務的時間是周一到周五的9：00到18：00。

參考文獻（References）

[1] 單慶元，閻丕濤，南峰.交換機ACL在WWW服務器安全防護中的應用[J].計算機系統應用，2019（12）：212-218.

[2] 高強，權循忠，葛先雷.基于時間的ACL在企業網絡中的實際應用[J].長春師范大學學報，2019（06）：61-66.

[3] 龐鐳.訪問控制列表在校園網安全防護中的應用[J].網絡安全技術與應用，2017（10）：97-99.

[4] 孫光懿.基于訪問控制列表技術的仿真實驗設計[J].伊犁師范學院學報（自然科學版），2018（03）：53-58.

[5] 李勇，楊華芬.訪問控制列表在模擬器中的實驗仿真與分? ? ? 析[J].實驗室研究與探索，2018（12）：137-140.

[6] 孔巋然.基于時間的多層防火墻訪問控制列表策略審計方? ? ? 案[J].計算機應用，2017（01）：212-216.

[7] 胡國強，蔚繼承.ACL數據包過濾實驗在仿真器中的設計與實現[J].實驗室技術與管理，2017（11）：141-144.

[8] 高靜，聶利穎，郭峰.擴展IP訪問列表的訪問控制在模擬器CiscoPacketTracer中的仿真設計與實現[J].智能計算機與應用，2016（02）：82-84.

[9] RAMPRASATH J， SEETHALAKSHMI V. Secure access of resource in software-defined networks using dynamic access control[J]. International Journal of Communication System， 2020（34）：112-115.

作者簡介：

汪海濤（1978-），男，碩士，副教授.研究領域：計算機網絡工程，SDN和大數據.

王 ?磊（1981-），男，博士，副教授.研究領域：軟件技術，Web開發和大數據.本文通訊作者.

戴宏明（1978-），男，博士，副教授.研究領域：軟件開發和大數據技術.