摘 要 高校校园网用户多,信息量大,很容易造成网络堵塞或病毒传播,使用访问控制列表(ACL)可以对占用带宽大的学生网段进行适当的上网权限限制,或限制特定时间段访问互联网,加强对校园网的安全管理,提高校园网的相应安全策略。
关键词 访问控制列表(ACL);校园网;安全策略
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)23-0164-02
随着高校校园网的规模和应用不断扩大,大量占用带宽的软件不断出现,对校园网的非法访问,病毒攻击现象随时发生,同时无限制的使用网络耗费了学生大量的课余时间,上网所带来的问题日益显现,对校园网的安全策略提出了更全面的要求,如果不采取有效的管理措施,很容易造成网络堵塞和病毒传播。
1 ACL
1)ACL简介。
ACL(Access Control List)应用于路由器接口,是一组由permit(允许)和deny(拒绝)语句组成的条件列表,进行数据包的过滤。ACL通过设置匹配条件如源、目的地址、端口号等信息判断并决定通过端口的数据包是否被转发或丢弃,用来控制进出端口的数据包,以达到某种访问控制。
2)ACL工作过程。
配置ACL后,依据过滤规则对数据包执行允许或者拒绝其通过,可以保证网络资源不被非法使用和访问。数据包到达端口时,读取数据包包头中的信息,如源IP地址、源端口号、目的IP地址、目的端口号以及协议类型等,与ACL语句列表自上而下逐一对照,如有匹配语句,则按该语句中的permit或deny“允许”或“拒绝”数据流通过,后续语句就不再进行处理,如果没有找到匹配的语句,就执行末尾隐含的deny语句,拒绝数据流通过。所以一组ACL语句应该至少有一条permit语句,否则所有数据包都被丢弃。
3)ACL分类。
访问控制列表主要有两类:①标准ACL,是最简单的ACL,仅根据数据包的源IP地址进行数据包的过滤,可以阻止来自某一特定网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。使用的ACL号为1到99。②扩展ACL,除了根据源IP地址和目的IP地址进行过滤,还可以根据源端口、目的端口和协议类型(如TCP/UDP)进行数据包的过滤,提供更加广泛的控制范围。常用的有基于时间的ACL、基于IP的ACL。扩展ACL使用的ACL号为100到199。
2 配置ACL
在校园网中,上网用户基本都是学生和在校工作人员,不仅对上网时间有不同的限制,对网络资源的访问也有不同的权限要求,要保证网络的正常安全运行,需配置不同类型的ACL。
1)配置标准ACL。
针对部分学生利用自己所学计算机知识,或者网络上所学的网络技能,对校园网进行恶意攻击,可以设置标准ACL来限制学生所在网段(192.168.4.0 0.0.0.255)的计算机访问学校的服务器(如数据库服务器),而不影响教师正常访问,在服务器端口配置如下:
Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255(拒绝学生网段的数据包通过)
Router(config)#access-list 1 permit any(允许其它网段的数据包通过)
2)配置扩展ACL。
①防止网络拥塞
学生经常使用迅雷、电驴(eMule)、BT等占用高带宽的下载工具,影响校园网的正常使用,可以通过ACL限制其通过,如迅雷占用端口3077和3076进行上传下载,可在学生公寓所在网段配置:
access-list 199 deny tcp any any eq 3077
access-list 199 deny udp any any eq 3077
access-list 199 deny tcp any any eq 3076
access-list 199 deny udp any any eq 3076
access-list 199 permit ip any any
类似的配置方法可以限制电驴(eMule)、BT等通过。
②防范病毒攻击
扩展的ACL还可以防范病毒,将平时校园网中广泛传播的蠕虫病毒使用的端口进行封锁,并将这些端口的数据包丢弃,这样就可以有效的防范病毒的攻击。例如常见的冲击波病毒端口:69、135、4444,做如下配置即可:
access-list 198 deny tcp any any eq 4444
access-list 198 deny udp any any eq 69
access-list 198 deny tcp any any eq 135
access-list 198 deny udp any any eq 135
access-list 198 permit ip any any
3)配置基于时间的ACL。
①限制即时通信软件等使用时间。
针对职能部门工作人员在工作时间(day1到day2的08:00至18:00),学生在实验室上课期间使用即时通信软件QQ、MSN或其它网络游戏,确定此类软件使用的端口和登录的服务器IP,从而过滤该IP以及端口的流量。例如QQ登录通常使用TCP443,UDP8000端口来通信,可能用到4000(UDP)。做如下配置:
Router(config)#time-range QQ-time
Router(config-time-range)#absolute start 00:00 day1 end 23:59 day2 periodic Monday 08:00 to Friday 18:00
access-list 197deny tcp 192.168.10.1 0.0.0.0.0 any eq 80 time-range QQ-time(其中192.168.10.1为QQ登录的服务器IP)
access-list l97 deny tcp any any eq 443 time-range QQ-time
access-list l97 deny udp any any eq 8000 time-range QQ-time
access-list l97 deny udp any any eq 4000 time-range QQ-time
access-list 197 tcp permit any any
access-list 197 udp permit any any
access-list 197 permit ip any any
②限制上网时间。
为防止学生熬夜上网影响学习,可以限定在一学期(day1到day2)的周一至周五晚23:00至早8:00不能上网,而校园网中的其它用户不受此时间限制。配置如下:
Router(config)#time-range time-limit
Router(config)#absolute start 0:00 day1 end 23:59 day2 periodic weekday 23:00 to 8:00
access-list 196 deny ip 192.168.4.0 0.0.0.255 any limit
access-list 196 permit ip 192.168.xxx.0 0.0. xxx.255 any (192.168.xxx.0 0.0.xxx.255为整个校园网 IP 地址范围)
3 结论
在校园网中通过设置ACL对不同的用户进行不同的上网限制,既可以限制流量,屏蔽病毒的传播、来自内部的恶意攻击,还可以限制学生和在校工作人员的上网行为,同时加强对校园网的安全管理,使得校园网运行更加稳定、安全。
基金项目
本课题为陕西学前师范学院科研基金资助项目(11KJ056)。
参考文献
[1]Cisco System公司.思科网络技术学院教程[M].人民邮电出版社,2014.
[2]黄悦.ACL技术在高校校园网中管理与安全控制的应用[J].信息安全与技术,2012(5).
[3]高亚娴.使用访问控制列表限制学生滥用校园网络[J].中国信息界,2010(7).
[4]覃德泽.基于ACL的校园网安全技术[J].网络安全技术与应用,2013(3).
作者简介
高亚娴(1979-),女,讲师,硕士,陕西学前师范学院计算机与电子信息系,研究方向:网络技术、网络安全等。
