基于ACL的校園網(wǎng)安全技術(shù)

覃德澤

賀州學(xué)院計(jì)算機(jī)科學(xué)與信息工程學(xué)院 廣西 542899

0 引言

目前，各高?；窘⒘诵@網(wǎng)，并且規(guī)模和應(yīng)用在不斷擴(kuò)大。高校校園網(wǎng)通常由各機(jī)構(gòu)或部門的局域網(wǎng)組成，如科研大樓局域網(wǎng)、學(xué)生宿舍局域網(wǎng)、教師宿舍局域網(wǎng)和行政大樓局域網(wǎng)等。局域網(wǎng)間的信息傳遞通常通過路由器來實(shí)現(xiàn)。校園網(wǎng)安全管理的一個(gè)突出問題是：用何種有效方法實(shí)現(xiàn)對(duì)數(shù)據(jù)流過濾或控制，即拒絕不希望的訪問鏈接，允許正常的訪問鏈接，達(dá)到確保網(wǎng)絡(luò)安全運(yùn)行的目的。對(duì)校園網(wǎng)的路由器設(shè)置恰當(dāng)?shù)脑L問控制列表(ACL)，能夠?qū)崿F(xiàn)對(duì)不同的用戶進(jìn)行分別管理，限定特定網(wǎng)段和特定流量訪問互聯(lián)網(wǎng)，或防止未授權(quán)用戶和未允許數(shù)據(jù)流通過互聯(lián)網(wǎng)訪問校園網(wǎng)，加強(qiáng)了對(duì)校園網(wǎng)的安全管理，有效地提高了校園網(wǎng)的安全性。

1 ACL技術(shù)簡(jiǎn)介

1.1 ACL定義

訪問控制列表(Access control list,ACL)是一種路由器配置腳本，它使用分組過濾控制路由器根據(jù)分組報(bào)頭中條件決定允許還是拒絕分組。ACL還可用于選擇數(shù)據(jù)流類型，以便對(duì)其進(jìn)行分析轉(zhuǎn)發(fā)或其他處理。ACL是Cisco IOS軟件中最常用的功能之一。

1.2 ACL分類及特點(diǎn)

ACL分為三種類型：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL和復(fù)雜 ACL。為了實(shí)現(xiàn)更多功能，可在標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的基礎(chǔ)上構(gòu)建復(fù)雜ACL，復(fù)雜ACL包括動(dòng)態(tài)ACL、自反ACL和基于時(shí)間的ACL。

標(biāo)準(zhǔn)ACL是最簡(jiǎn)單的一類，只根據(jù)源IP地址允許或拒絕流量，它的編號(hào)范圍是1到99和1300到1999。擴(kuò)展ACL是高級(jí)的ACL，其編號(hào)范圍是100到199和2000到2699，能夠根據(jù)若干屬性過濾IP數(shù)據(jù)包，這些屬性包括：源和目的IP地址，源和目的TCP和UDP端口，協(xié)議類型(IP、ICMP、UDP、TCP或協(xié)議號(hào))。因?yàn)閿U(kuò)展ACL可以根據(jù)更多的屬性過濾數(shù)據(jù)包，所以能更加精確地控制流量過濾。

動(dòng)態(tài)ACL僅當(dāng)用戶使用Telnet連接路由器并通過身份驗(yàn)證后，其數(shù)據(jù)流才能穿越路由器。動(dòng)態(tài) ACL在網(wǎng)絡(luò)安全上具有如下優(yōu)點(diǎn)：

第一，使用詢問機(jī)制對(duì)每個(gè)用戶進(jìn)行身份驗(yàn)證；

第二，降低黑客闖入網(wǎng)絡(luò)的機(jī)會(huì)；

第三，通過防火墻動(dòng)態(tài)創(chuàng)建用戶訪問，而不會(huì)影響其它所配置的安全限制。

自反 ACL允許數(shù)據(jù)流離開，但只允許響應(yīng)路由器內(nèi)部發(fā)起的會(huì)話的數(shù)據(jù)流進(jìn)入。自反 ACL在網(wǎng)絡(luò)安全上具有如下優(yōu)點(diǎn)：

第一，幫助保護(hù)您的網(wǎng)絡(luò)免遭網(wǎng)絡(luò)黑客攻擊，并可內(nèi)嵌在防火墻防護(hù)中。

第二，提供一定級(jí)別的安全性，防御欺騙攻擊和某些DoS攻擊。自反 ACL方式較難以欺騙，因?yàn)樵试S通過的數(shù)據(jù)包需要滿足更多的過濾條件。

基于時(shí)間的 ACL支持根據(jù)一周或一天中的時(shí)間來控制訪問?；跁r(shí)間的ACL在網(wǎng)絡(luò)安全上具有如下優(yōu)點(diǎn)：

第一，在允許或拒絕資源訪問方面為網(wǎng)絡(luò)管理員提供了更多的控制權(quán)；

第二，允許網(wǎng)絡(luò)管理員控制日志消息。ACL 條目可在每天定時(shí)記錄流量，而不是一直記錄流量。因此，管理員無需分析高峰時(shí)段產(chǎn)生的大量日志就可輕松地拒絕訪問。

1.3 ACL工作原理

在路由器中配置 ACL后，路由器對(duì)進(jìn)或出接口的數(shù)據(jù)包進(jìn)行過濾，過濾規(guī)則是：路由器讀取數(shù)據(jù)包的第三層及第四層包頭中的信息，如源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)以及協(xié)議類型等，首先與訪問控制列表的第一條語句的條件進(jìn)行比對(duì)，如匹配，則按該語句中的permit或deny“允許”或“拒絕”數(shù)據(jù)流通過，不再與其它語句比較，ACL執(zhí)行結(jié)束；若第一條語句不匹配，則依次往下比較第二條、第三條語句等，直到最后一條語句；如與某一語句的條件匹配，則執(zhí)行該語句的permit或deny，ACL執(zhí)行結(jié)束；如果所有語句都不匹配，則執(zhí)行末尾的隱式deny語句，拒絕數(shù)據(jù)流通過，ACL也隨之執(zhí)行結(jié)束。

2 ACL技術(shù)在高校校園網(wǎng)中的應(yīng)用

正因?yàn)?ACL具有上述特點(diǎn)或優(yōu)點(diǎn)，因此在校園網(wǎng)中得到了廣泛應(yīng)用，例如，利用ACL技術(shù)可以限制數(shù)據(jù)流流向，設(shè)置對(duì)上網(wǎng)時(shí)間的控制，控制對(duì)服務(wù)器的訪問，防止病毒和網(wǎng)絡(luò)攻擊，限制對(duì)路由器訪問等。下面以某高校校園網(wǎng)為例，分析ACL技術(shù)在校園網(wǎng)安全中應(yīng)用。網(wǎng)絡(luò)拓?fù)鋱D見圖1，各設(shè)備IP地址分配等情況見表1。

圖1 某高校校園網(wǎng)拓?fù)鋱D

表1 IP地址分配表

網(wǎng)絡(luò)拓?fù)鋱D中的服務(wù)器為服務(wù)器群，包括WWW、FTP、DNS和EMAIL等服務(wù)器，為了簡(jiǎn)略，圖中只用一個(gè)服務(wù)器圖標(biāo)。交換機(jī)S1所在網(wǎng)段(192.168.10.0)為教師宿舍網(wǎng)段，S2所在網(wǎng)段(192.168.20.0)為學(xué)生宿舍網(wǎng)段，S3所在網(wǎng)段(192.168.30.0)為行政辦公樓網(wǎng)段，S4所在網(wǎng)段(192.168.40.0)為科研機(jī)構(gòu)大樓網(wǎng)段，S5所在網(wǎng)段(192.168.50.0)為信息中心機(jī)房網(wǎng)段。R1、R2和R3均為Cisco路由器。

2.1 限制數(shù)據(jù)流流向

教師宿舍網(wǎng)段(192.168.10.0)的主機(jī)上存放教師個(gè)人相關(guān)資料和數(shù)據(jù)，對(duì)學(xué)生來說往往是保密的，因此不能讓學(xué)生宿舍網(wǎng)段(192.168.20.0)訪問，但是教師宿舍網(wǎng)段可以訪問學(xué)生宿舍的計(jì)算機(jī)，以便對(duì)學(xué)生課外學(xué)習(xí)、課外作業(yè)等情況進(jìn)行監(jiān)控和指導(dǎo)。為了達(dá)到此目的，可以在路由器 R1上進(jìn)行如下配置：

(1)配置標(biāo)準(zhǔn)ACL

R1(config)# access- list 1 deny 192.168.20.0 0.0.255

R1(config)# access- list 1 permit any

R1(config)# int fa0/0

R1(config-if)# ip access- group 1 out

經(jīng)過上述配置，路由器 R1可以禁止學(xué)生訪問教師，但同時(shí)也禁止了教師訪問學(xué)生，因?yàn)樵趂a0/0的out方向上禁止了所有學(xué)生通向教師的數(shù)據(jù)流，包括學(xué)生向教師回復(fù)的數(shù)據(jù)流。因此，單純的標(biāo)準(zhǔn) ACL不能達(dá)到上述目的，必須配置擴(kuò)展ACL。

(2)配置擴(kuò)展ACL

R1(config)# access- list 100 permit tcp 192.168.20.0 0.0.255 192.168.10.0 0 0.0.255 established

R1(config)# access- list 100 permit tcp any any

R1(config)# int fa0/1

R1(config-if)# ip access- group 100 in

上述擴(kuò)展ACL中，第一條語句的作用是只允許學(xué)生向教師回復(fù)的數(shù)據(jù)流通過，不允許學(xué)生發(fā)向教師的數(shù)據(jù)流通過。

通過對(duì)R1配置上述的標(biāo)準(zhǔn)ACL和擴(kuò)展ACL，實(shí)現(xiàn)只允許教師訪問學(xué)生，不允許學(xué)生訪問教師的目的。

因?yàn)椴煌瑥S商的設(shè)備 ACL配置方法有所不同，非思科路由器的具體配置方法可參考有關(guān)資料。

2.2 控制上網(wǎng)時(shí)間

基于時(shí)間的訪問控制列表的一個(gè)重要應(yīng)用是設(shè)置訪問Internet的時(shí)間。如限定一天的某個(gè)時(shí)間、一周的某天或一月中的某天等。建立基于時(shí)間的 ACL的基本步驟分三步：第一步，定義要在 ACL中使用的時(shí)間范圍，并給其指定一個(gè)名稱；第二步，建立ACL，并在ACL中使用時(shí)間范圍；第三，將 ACL應(yīng)用于接口。例如，只允許學(xué)生宿舍的所有用戶在每天的7:00到23:00可以訪問Internet，可在R2上進(jìn)行如下配置：

R2(config)# time-range stu_limit //指定時(shí)間范圍名稱為stu_limit

R2(config-time-range)# periodic daily 7:00 to 23:00 //定義時(shí)間范圍

R2(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 any time-range stu_limit //創(chuàng)建ACL并使用時(shí)間范圍

R2(config)# int s0/1/0

R2(config-if)# ip access-group 101 out//將ACL應(yīng)用于接口

2.3 控制對(duì)服務(wù)器的訪問

服務(wù)器的作用是向用戶提供共享資源和服務(wù)，是用戶重點(diǎn)訪問對(duì)象，同時(shí)也是惡意攻擊的首選目標(biāo)，因此必須重點(diǎn)保護(hù)。為了防止對(duì)服務(wù)器的非正常連接與訪問，預(yù)防來自校園網(wǎng)內(nèi)外的攻擊，可以在路由器上建立ACL，只允許與服務(wù)器對(duì)應(yīng)的數(shù)據(jù)流通過，阻止其它數(shù)據(jù)流通過。例如，對(duì)目的地為WWW 服務(wù)器的數(shù)據(jù)流，只允許端口號(hào)為80的通過，對(duì)目的地為DNS服務(wù)器的數(shù)據(jù)流，只允許端口號(hào)為53的通過，對(duì)目的地為Email服務(wù)器的數(shù)據(jù)流，只允許端口號(hào)為80、25、110的通過，對(duì)目的地為FTP服務(wù)器的數(shù)據(jù)流，只允許端口號(hào)為21的通過。為此，可在路由器R2上進(jìn)行如下配置：

R2(config)#access-list 102 permit tcp any host 192.168.50.254 eq www

R2(config)#access-list 102 permit tcp any host 192.168.50.253 eq ftp

R2(config)#access-list 102 permit tcp any host 192.168.50.252 eq domain

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq www

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq smtp

R2(config)#access-list 102 permit tcp any host 192.168.50.251 eq pop3

R2(config)# int fa0/0

R2(config-if)# ip access-group 102 out

2.4 防止病毒和網(wǎng)絡(luò)攻擊

病毒和網(wǎng)絡(luò)攻擊是校園網(wǎng)面臨的兩個(gè)重大安全問題，通常的預(yù)防措施是安裝防火墻和殺毒軟件。此外，為了進(jìn)一步增強(qiáng)校園網(wǎng)絡(luò)安全性，還可以在路由器上建立 ACL來過濾病毒。我們已經(jīng)知道病毒程序和網(wǎng)絡(luò)攻擊程序常利用的端口有 69、135，138、139、445、539、593、4444等，通過建立ACL，禁止與這些目的端口匹配的數(shù)據(jù)包通過路由器，把病毒阻止在設(shè)備之外，達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。例如，為了保護(hù)科研機(jī)構(gòu)大樓網(wǎng)段(192.168.40.0)免受任何來自外界病毒和網(wǎng)絡(luò)攻擊，可對(duì)路由器R3進(jìn)行如下配置：

R3(config)#access-list 103 deny udp any any eq 69

R3r(config)#access-list 103 deny tcp any any eq 135

R3(config)#access-list 103 deny udp any any eq 135

R3(config)#access-list 103 deny tcp anyany eq 138

R3(config)#access-list 103 deny udp any any eq 138

R3(config)#access-list 103 deny tcp any any eq 139

R3(config)#access-list 103 deny udp any any eq 139

R3(config)#access-list 103 deny tcp any any eq 445

R3r(config)#access-list 103 deny udp any any eq 445

R3r(config)#access-list 103 deny tcp any any eq 539

R3(config)#access-list 103 deny tcp any any eq 539

R3r(config)#access-list 103 deny tcp any any eq 593

R3r(config)#access-list 103 deny udp any any eq 593

R3(config)#access-list 103 deny tcp any any eq 4444

R3r(config)#access-list 103 permit ip any any

R3(config)# int fa0/1

R3(config-if)# ip access-group 103 out

2.5 限制對(duì)路由器訪問

為了確保網(wǎng)絡(luò)設(shè)備免受非法訪問，擅自修改配置信息，甚至進(jìn)行惡意攻擊，我們可以限定只有網(wǎng)管員并且通過特定主機(jī)才能訪問網(wǎng)絡(luò)設(shè)備。例如，信息科設(shè)在行政大樓，如果限定網(wǎng)管員(唯一知道VTY密碼人)只能使用P41(IP地址為192.168.40.10)訪問路由器R3，可在R3上建立ACL，具體配置如下：

R3(config)#access-list 2 permit 192.168.40.10 0.0.0.255

R3(config)#access-list 2 deny any

R3(config)#line vty 0 4

R3(config-line)#login

R3(config-line)password secret

R3(config-line)#access-class 2 in

3 結(jié)束語

ACL對(duì)網(wǎng)絡(luò)安全的作用還有很多，上面只是列舉了幾個(gè)較典型的應(yīng)用實(shí)例，用戶可以根據(jù)不同場(chǎng)合和不同要求恰當(dāng)?shù)乩?ACL。由于它的配置簡(jiǎn)單易行且不用增加硬件設(shè)備,與防火墻配合使用不但提升網(wǎng)絡(luò)的安全性能，而且還可減輕網(wǎng)絡(luò)防火墻的負(fù)擔(dān)。因此，隨著 ACL技術(shù)的進(jìn)一步研究和發(fā)展，其在網(wǎng)絡(luò)安全中將發(fā)揮越來越大作用。

[1]Bob Vachon,Rick Graziani.CCNA Exploration:Accessing the WAN[M].思科系統(tǒng)公司,譯.北京:人民郵電出版社.2009.

[2]莫林利.使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J].華東交通大學(xué)學(xué)報(bào).2009.

[3]陶宇清.訪問控制列表在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].電腦知識(shí)與技術(shù).2011.

[4]沈忠誠.ACL 技術(shù)在校園網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技術(shù).2010.

[5]任志剛.ACL技術(shù)在網(wǎng)絡(luò)控制及網(wǎng)絡(luò)安全中的應(yīng)用[J].福建電腦.2010.