访问控制列表ACL在校园网中的作用分析

石峰

摘要：随着互联网信息技术的发展，网络的普及范围越来越广，为了顺应现代化教育改革的需求，网络与校际互联迅速，校园网提供了校园动态信息的发布以及远程教学服务等，校园网的安全问题便引起了人们的重视。该文对此展开探究，对基于ACL访问控制列表的校园网安全建设展开探究，概述了ACL的基本原理与功能，对ACL创建与配置展开详细研究，提出了基本创建与配置方法，并介绍了ACL在校园网安全建设中的实际应用，验证了访问控制列表ACL在校园网中起到的重要安全防护作用。

关键词：ALC；校园网；网络安全策略；访问控制列表

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）33-0070-02

高校校园网安全问题一直以来都受到各界关注，高校网络安全威胁包括病毒入侵、系统漏洞、垃圾信息、恶意破坏、淫秽信息传播、滥用资源等。高校校园网络通常存在操作系统与软件安全漏洞，对系统用户的正常使用造成恶劣影响，阻碍了网络的稳定运行，带来了重大的安全威胁。这些漏洞与威胁如果遭到黑客的恶意使用，就会造成校园网的全面瘫痪，甚至会带来灾难性的破坏。网络病毒传播速度非常快，如果校园网用户系统没有安装相应的杀毒软件，缺少病毒库的更新，就会造成大量用户安全信息的泄露，造成网络资源的消耗。高校校园网建设中，网络使用初期往往并不会出现问题，而随着学生数量的增多，校园内部的网络运行速度就会有所降低，而通过在路由器上设置一道使用网络层的ACL访问控制列表，就能够有效解决这些问题。

1 ACL概述

访问控制列表（Access Control List，ACL）由路由器与交换机接口共同组成，通过构建一项指令列表，对端口进入的数据包进行安全把控。现阶段访问控制列表受到所有路由協议支持，包括IP、IPX、AppleTalk等。从通信安全的角度来看，信息点之间的通信安全性决定了网内的安全性，所以对网内的安全保护必须从数据访问范围入手。通过构建与实施安全方案对未经授权的用户加以限制访问，进而达到阻绝未经授权用户的目的，而该类用户只能够访问个别特定网络资源，对于网内形成一种访问控制。从流量过滤的角度来说，ACL就是用以过滤网络流量的特殊技术手段，其特有配置能够对网络流量起到限制作用，并决定其访问权限，或允许访问特定资源，或允许特定设备访问网内，通过制定与转发端口数据包，实现对外部设备的访问控制。从配置途径来看，访问控制列表可以配置在路由器上，也可以配置在特定软件商，比如具有ACL功能的业务软件等。ACL是目前重要的系统安全保护技术，被广泛应用于物联网，能够有效防止非法设备对系统的破坏，防止非法获取内网资源。

1.1 基本原理

访问控制列表主要采用了数据包过滤技术，对数据包信息进行全面详细的获取，主要包括源地址、目的地址、目的端口等。ACL配置中会事先设定相应规则，访问控制列表根据规则过滤数据包，不符合规则直接予以限制访问，达到控制访问的目标。数据包进入到路由器时，路由器会判断数据包的源地址，如果其源地址是可路由的，则进行下一步操作，如果不是可路由的，则直接放入垃圾桶中；随后，由路由器在访问控制列表中寻找入口，没有找到入口则说明不符合规则，直接放入垃圾桶；如果能够找到则进入下一步；随后，再选择路由器接口，进入接口之后使用ACL，触动包过滤技术，根据路由器上读取的包头信息，与事先设定的控制规则进行比较，滤除所有不满足规则的数据。

1.2 配置原则

配置ACL通常要遵循以下基本原则：

1） 最小特权原则：即要求只给予受控对象完成任务的最小权限；

2） 最靠近原则：即所有的网络层访问权限控制要尽量距离受控对象最近；

3） 默认丢弃原则：每个访问控制列表的最后一个隐藏规则为deny any any。

具体根据不同设备对ACL技术的支持与配置，会有一些区别，而这些区别往往对于网络安全策略的配置效率很重要。

1.3 ACL分类

前阶段主要有三种ACL：标准ACL、扩展ACL、命名ACL。目前有的地方也会结合实际需求使用一些特殊ACL，比如以太协议ACL等。其中，常见的标准ACL标号为1-99的数字，扩展ACL则为100-199。通过配置标准ACL能够起到对特定网络全部流量包的限制，或者限制某协议族的全部通信流量包。相比较而言，扩展ACL的控制范围更大，换句话说就是对访问控制更准确，比如可以选择允许外来Web通信流量通过，但拒绝外来FTP通信流量的通过，从而达到实用的控制目的。而命名ACL则是将列表名称用于ACL的编号定义，一般也有标准与扩展两种形式，可以对列表中个别的项目进行删除，也就是便于列表修改。

比较三者的区别，在标准ACL与扩展ACL中，都要用到表号，但是在命名访问控制列表中，使用一个字母或数字组合的字符串可以代替前面使用的数字。命名访问控制列表可以删除特定的控制条目，这样就能够满足使用过程中的适当修改。一般在使用命名访问控制列表时，要求路由器IOS版本在11.2以上，而且不能用同一个名字命名数个ACL，且不同类型的ACL也不能使用同一个名字。

1.4 基于时间的ACL

在一所高校内，如果学校希望在某一个特定的时间范围内限定学生访问某特定网页，只有在制定的时间才可以访问该网页，那么就可以充分利用ACL技术，配置一种基于时间的访问控制列表，在特定时间范围内实现对访问的限制。这一过程中，需要做的是为设备配置比较精准的时间，则ACL会在规定时间内实施服务。基于时间的ACL主要受指令控制，但是在此基础上同时接受时间限制控制，除了列表规则外，还需要加设一个时间限制，因为正常配置后采用的默认所有时间允许访问的。通过对命令加设时间限制，就能让该ACL命令在规定时间内生效。

2 ACL创建与配置

2.1 标准访问控制列表配置

①创建访问控制列表

router（config）#access-list 1 deny 172.16.4.13 0.0.0.0

拒绝来自主机172.16.4.13的数据包。其中的1表示这是一个标准的访问控制列表。

也可用命令 access-list 1 deny host 172.16.4.13

router（config）#access-list 1 permit 172.16.0.0 0.0.255.255

允许网络172.16.0.0的所有流量通过。

router（config）#access-list 1 permit any

允许任何流量通过。

②应用到接口进方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-group 1 in

把这个ACL绑定到接口F0/0进的方向上。

③删除一个访问控制列表

首先在接口模式下输入命令：no ip access-group

然后在全局模式下输入命令：no access-list

2.2 扩展访问控制列表配置

①创建拒绝来自172.16.4.0 去往172.16.3.0 的FTP流量ACL

router（config）#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

router（config）#access-list 101 permit ip any any

②创建拒绝来自172.16.4.0 去往 172.16.3.0 的TELNET 流量的ACL

router（config）#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23

router（config）#access-list 101 permit ip any any

③创建拒绝主机192.168.1.1 到主机 192.168.1.254 的 icmp

router（config）#access-list 101 deny icmp host 192.168.1.1 host 192.168.1.254

router（config）#access-list 101 permit ip any any

④应用到接口进的方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-list 101 in

2.3 命名访问控制列表配置

①访问控制列表的命名

router（config）#ip access-list {standard | extended} name

router（config）#{permit | deny} {source [source-wildcard]|any} {test conditions}

这里test conditions 的使用可以参考标准和扩展访问控制列表中相应的内容。

②命名访问控制列表的应用

a.创建名为cisco的访问控制列表

router（config）#ip access-list extended cisco

b.拒绝主机192.168.3.1 去往 192.168.3.254 的远程桌面

router（config-ext-nacl）#deny tcp host 192.168.3.1 host 192.168.3.254 eq 3389

router（config-ext-nacl）#permit ip any any

c.应用到接口进方向

router（config）#interface fastethernet 0/0

router（config-if）#ip access-group cisco in

③查看ACL列表

router#show ip interface fastethernet 0/0

router#show access-list

router#show running-config

3 ACL在校園网中的应用

将ACL应用于某高校网络结构体的一部分，主要包括了教师办公室、服务器机房、学生实验室。如1图所示。网络全部采用24位子网掩码。

如图所示，路由器通过以太网端口E0连接教师办公室；通过端口S0连接校园网；通过端口E1连接服务器机房；通过端口E2连接学生实验室。针对该部分网络结构中，教师办公室、服务器机房、学生实验室分别对网络与数据安全的要求不同，应当分别构建网络安全策略。

对于教师办公室，理论上主机中通常会存放一些敏感数据，比如重要测试试卷等，避免学生实验室对其访问；而反过来，学生实验室中的表现，在实验室计算机上的操作情况、实验情况，教师应当予以适当管理与监控，所以要采用单向控制标准。当TCP连接时，路由器E2端口检查数据表，如果确认通过则数据包通过，如果学生实验室主机向教师办公室主机网段发起TCP连接数据包，则表示不确认，也就是拒绝通过，由此以来就能够防止学生对教师敏感资料的访问。

对于学生实验室，要求可以访问较多的资源，比如允许学生访问电影资源、音乐资源、游戏资源，但是鉴于实验室作为学习场所，应当禁止上课期间学生对该类娱乐资源进行访问。也就是禁止学生访问FTP服务，但是可以访问WWW服务。比如QQ游戏等应用，查找因特网提供QQ游戏的服务器IP，采用ACL命令禁止实验室网段与该类IP服务器的网络连接，就能防止学生上课时间访问游戏资源。

4 结束语

综合全文，通过对ACL访问控制列表的合理配置，在校园网络结构的内部建立起了安全的网络体系，可以在一定程度上提高网络的安全性。通过对ACL技术在校园网中的应用，能够实现对特定网页数据信息的安全保护，避免外来访问对校园网数据安全带来威胁。但是总的来说，ACL过滤的包头信息也比较局限，如果运行不当也可能造成资源浪费，所以还应当结合实际情况适当使用ACL技术，确保在保障网络安全的前提下，充分提高网络服务效率。

参考文献：

[1] 孔晓宇.基于ACL访问控制列表的机房上网管理[J].电脑知识与技术：学术交流，2010，06（27）：7476-7477.

[2] 曹世华，沈惠惠.访问控制列表在校园网安全管理的应用[J].科技、经济、市场，2007（11）：123.