基于ACL的校园网安全技术

覃德泽

贺州学院计算机科学与信息工程学院 广西 542899

0 引言

目前，各高校基本建立了校园网，并且规模和应用在不断扩大。高校校园网通常由各机构或部门的局域网组成，如科研大楼局域网、学生宿舍局域网、教师宿舍局域网和行政大楼局域网等。局域网间的信息传递通常通过路由器来实现。校园网安全管理的一个突出问题是：用何种有效方法实现对数据流过滤或控制，即拒绝不希望的访问链接，允许正常的访问链接，达到确保网络安全运行的目的。对校园网的路由器设置恰当的访问控制列表(ACL)，能够实现对不同的用户进行分别管理，限定特定网段和特定流量访问互联网，或防止未授权用户和未允许数据流通过互联网访问校园网，加强了对校园网的安全管理，有效地提高了校园网的安全性。

1 ACL技术简介

1.1 ACL定义

访问控制列表(Access control list,ACL)是一种路由器配置脚本，它使用分组过滤控制路由器根据分组报头中条件决定允许还是拒绝分组。ACL还可用于选择数据流类型，以便对其进行分析转发或其他处理。ACL是Cisco IOS软件中最常用的功能之一。

1.2 ACL分类及特点

ACL分为三种类型：标准ACL、扩展ACL和复杂 ACL。为了实现更多功能，可在标准ACL和扩展ACL的基础上构建复杂ACL，复杂ACL包括动态ACL、自反ACL和基于时间的ACL。

标准ACL是最简单的一类，只根据源IP地址允许或拒绝流量，它的编号范围是1到99和1300到1999。扩展ACL是高级的ACL，其编号范围是100到199和2000到2699，能够根据若干属性过滤IP数据包，这些属性包括：源和目的IP地址，源和目的TCP和UDP端口，协议类型(IP、ICMP、UDP、TCP或协议号)。因为扩展ACL可以根据更多的属性过滤数据包，所以能更加精确地控制流量过滤。

动态ACL仅当用户使用Telnet连接路由器并通过身份验证后，其数据流才能穿越路由器。动态 ACL在网络安全上具有如下优点：

第一，使用询问机制对每个用户进行身份验证；

第二，降低黑客闯入网络的机会；

第三，通过防火墙动态创建用户访问，而不会影响其它所配置的安全限制。

自反 ACL允许数据流离开，但只允许响应路由器内部发起的会话的数据流进入。自反 ACL在网络安全上具有如下优点：

第一，帮助保护您的网络免遭网络黑客攻击，并可内嵌在防火墙防护中。

第二，提供一定级别的安全性，防御欺骗攻击和某些DoS攻击。自反 ACL方式较难以欺骗，因为允许通过的数据包需要满足更多的过滤条件。

基于时间的 ACL支持根据一周或一天中的时间来控制访问。基于时间的ACL在网络安全上具有如下优点：

第一，在允许或拒绝资源访问方面为网络管理员提供了更多的控制权；

第二，允许网络管理员控制日志消息。ACL 条目可在每天定时记录流量，而不是一直记录流量。因此，管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问。

1.3 ACL工作原理

在路由器中配置 ACL后，路由器对进或出接口的数据包进行过滤，过滤规则是：路由器读取数据包的第三层及第四层包头中的信息，如源IP地址、目的IP地址、源端口号、目的端口号以及协议类型等，首先与访问控制列表的第一条语句的条件进行比对，如匹配，则按该语句中的permit或deny“允许”或“拒绝”数据流通过，不再与其它语句比较，ACL执行结束；若第一条语句不匹配，则依次往下比较第二条、第三条语句等，直到最后一条语句；如与某一语句的条件匹配，则执行该语句的permit或deny，ACL执行结束；如果所有语句都不匹配，则执行末尾的隐式deny语句，拒绝数据流通过，ACL也随之执行结束。

2 ACL技术在高校校园网中的应用

正因为 ACL具有上述特点或优点，因此在校园网中得到了广泛应用，例如，利用ACL技术可以限制数据流流向，设置对上网时间的控制，控制对服务器的访问，防止病毒和网络攻击，限制对路由器访问等。下面以某高校校园网为例，分析ACL技术在校园网安全中应用。网络拓扑图见图1，各设备IP地址分配等情况见表1。

图1 某高校校园网拓扑图

表1 IP地址分配表

网络拓扑图中的服务器为服务器群，包括WWW、FTP、DNS和EMAIL等服务器，为了简略，图中只用一个服务器图标。交换机S1所在网段(192.168.10.0)为教师宿舍网段，S2所在网段(192.168.20.0)为学生宿舍网段，S3所在网段(192.168.30.0)为行政办公楼网段，S4所在网段(192.168.40.0)为科研机构大楼网段，S5所在网段(192.168.50.0)为信息中心机房网段。R1、R2和R3均为Cisco路由器。

2.1 限制数据流流向

教师宿舍网段(192.168.10.0)的主机上存放教师个人相关资料和数据，对学生来说往往是保密的，因此不能让学生宿舍网段(192.168.20.0)访问，但是教师宿舍网段可以访问学生宿舍的计算机，以便对学生课外学习、课外作业等情况进行监控和指导。为了达到此目的，可以在路由器 R1上进行如下配置：

(1)配置标准ACL

R1(config)# access- list 1 deny 192.168.20.0 0.0.255

R1(config)# access- list 1 permit any

R1(config)# int fa0/0

R1(config-if)# ip access- group 1 out

经过上述配置，路由器 R1可以禁止学生访问教师，但同时也禁止了教师访问学生，因为在fa0/0的out方向上禁止了所有学生通向教师的数据流，包括学生向教师回复的数据流。因此，单纯的标准 ACL不能达到上述目的，必须配置扩展ACL。

(2)配置扩展ACL

R1(config)# access- list 100 permit tcp 192.168.20.0 0.0.255 192.168.10.0 0 0.0.255 established

R1(config)# access- list 100 permit tcp any any

R1(config)# int fa0/1

R1(config-if)# ip access- group 100 in

上述扩展ACL中，第一条语句的作用是只允许学生向教师回复的数据流通过，不允许学生发向教师的数据流通过。

通过对R1配置上述的标准ACL和扩展ACL，实现只允许教师访问学生，不允许学生访问教师的目的。

因为不同厂商的设备 ACL配置方法有所不同，非思科路由器的具体配置方法可参考有关资料。

2.2 控制上网时间

基于时间的访问控制列表的一个重要应用是设置访问Internet的时间。如限定一天的某个时间、一周的某天或一月中的某天等。建立基于时间的 ACL的基本步骤分三步：第一步，定义要在 ACL中使用的时间范围，并给其指定一个名称；第二步，建立ACL，并在ACL中使用时间范围；第三，将 ACL应用于接口。例如，只允许学生宿舍的所有用户在每天的7:00到23:00可以访问Internet，可在R2上进行如下配置：

R2(config)# time-range stu_limit //指定时间范围名称为stu_limit

R2(config-time-range)# periodic daily 7:00 to 23:00 //定义时间范围

R2(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 any time-range stu_limit //创建ACL并使用时间范围

R2(config)# int s0/1/0

R2(config-if)# ip access-group 101 out//将ACL应用于接口

2.3 控制对服务器的访问

服务器的作用是向用户提供共享资源和服务，是用户重点访问对象，同时也是恶意攻击的首选目标，因此必须重点保护。为了防止对服务器的非正常连接与访问，预防来自校园网内外的攻击，可以在路由器上建立ACL，只允许与服务器对应的数据流通过，阻止其它数据流通过。例如，对目的地为WWW 服务器的数据流，只允许端口号为80的通过，对目的地为DNS服务器的数据流，只允许端口号为53的通过，对目的地为Email服务器的数据流，只允许端口号为80、25、110的通过，对目的地为FTP服务器的数据流，只允许端口号为21的通过。为此，可在路由器R2上进行如下配置：

R2(config)#access-list 102 permit tcp any host 192.168.50.254 eq www

R2(config)#access-list 102 permit tcp any host 192.168.50.253 eq ftp

R2(config)#access-list 102 permit tcp any host 192.168.50.252 eq domain

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq www

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq smtp

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq pop3

R2(config)# int fa0/0

R2(config-if)# ip access-group 102 out

2.4 防止病毒和网络攻击

病毒和网络攻击是校园网面临的两个重大安全问题，通常的预防措施是安装防火墙和杀毒软件。此外，为了进一步增强校园网络安全性，还可以在路由器上建立 ACL来过滤病毒。我们已经知道病毒程序和网络攻击程序常利用的端口有 69、135，138、139、445、539、593、4444等，通过建立ACL，禁止与这些目的端口匹配的数据包通过路由器，把病毒阻止在设备之外，达到保护网络安全的目的。例如，为了保护科研机构大楼网段(192.168.40.0)免受任何来自外界病毒和网络攻击，可对路由器R3进行如下配置：

R3(config)#access-list 103 deny udp any any eq 69

R3r(config)#access-list 103 deny tcp any any eq 135

R3(config)#access-list 103 deny udp any any eq 135

R3(config)#access-list 103 deny tcp anyany eq 138

R3(config)#access-list 103 deny udp any any eq 138

R3(config)#access-list 103 deny tcp any any eq 139

R3(config)#access-list 103 deny udp any any eq 139

R3(config)#access-list 103 deny tcp any any eq 445

R3r(config)#access-list 103 deny udp any any eq 445

R3r(config)#access-list 103 deny tcp any any eq 539

R3(config)#access-list 103 deny tcp any any eq 539

R3r(config)#access-list 103 deny tcp any any eq 593

R3r(config)#access-list 103 deny udp any any eq 593

R3(config)#access-list 103 deny tcp any any eq 4444

R3r(config)#access-list 103 permit ip any any

R3(config)# int fa0/1

R3(config-if)# ip access-group 103 out

2.5 限制对路由器访问

为了确保网络设备免受非法访问，擅自修改配置信息，甚至进行恶意攻击，我们可以限定只有网管员并且通过特定主机才能访问网络设备。例如，信息科设在行政大楼，如果限定网管员(唯一知道VTY密码人)只能使用P41(IP地址为192.168.40.10)访问路由器R3，可在R3上建立ACL，具体配置如下：

R3(config)#access-list 2 permit 192.168.40.10 0.0.0.255

R3(config)#access-list 2 deny any

R3(config)#line vty 0 4

R3(config-line)#login

R3(config-line)password secret

R3(config-line)#access-class 2 in

3 结束语

ACL对网络安全的作用还有很多，上面只是列举了几个较典型的应用实例，用户可以根据不同场合和不同要求恰当地利用 ACL。由于它的配置简单易行且不用增加硬件设备,与防火墙配合使用不但提升网络的安全性能，而且还可减轻网络防火墙的负担。因此，随着 ACL技术的进一步研究和发展，其在网络安全中将发挥越来越大作用。

[1]Bob Vachon,Rick Graziani.CCNA Exploration:Accessing the WAN[M].思科系统公司,译.北京:人民邮电出版社.2009.

[2]莫林利.使用ACL技术的网络安全策略研究及应用[J].华东交通大学学报.2009.

[3]陶宇清.访问控制列表在校园网络安全中的应用[J].电脑知识与技术.2011.

[4]沈忠诚.ACL 技术在校园网中的应用[J].电脑知识与技术.2010.

[5]任志刚.ACL技术在网络控制及网络安全中的应用[J].福建电脑.2010.