校園網安全之ACL技術

 校園網是將學校一個或多個校區(qū)的范圍內，為學校教學、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計算機網絡。隨著校園網絡規(guī)模和功能的建設，校園網成了高校教育和科研的重要信息基礎設施，承擔著多項重要任務：如教學、科研、管理以及對外交流等。校園網中運行著兩種信息系統(tǒng)：內部和外部。內部信息系統(tǒng)的使用限定在校園網內部，如教學管理系統(tǒng)、辦公自動化系統(tǒng)和圖書檢索系統(tǒng)等，外部信息系統(tǒng)是對外交流的主要工具，如學校、系部的主頁、電子郵件等。隨著校園網的信息化建設，網絡應用遍及學校各個角落，為師生提供了大量數據資源，方便了師生網上教學、交流、專題討論等活動，為教學和科研提供了很好的平臺，為學生的日常生活帶來了便捷。與此同時，校園網的安全問題變的尤為重要。校園網絡及其應用系統(tǒng)如何穩(wěn)定、高校的運行，成為校園網管理者需要思考和關注的問題。
校園網絡安全采用的技術很多，如防火墻技術、入侵檢測系統(tǒng)、防病毒技術及VPN技術等，而通過訪問控制列表可以對數據進行過濾，是實現(xiàn)基本網絡安全的手段之一，ACL可以通過對網絡數據流量的控制，即拒絕不希望的訪問鏈接、允許正常的訪問鏈接，從而達到執(zhí)行安全策略的目的。對校園網的路由器設置恰當的ACL，能夠實現(xiàn)對不同用戶進行分別管理，限定特定網絡和特定流量訪問互聯(lián)網，或防止未授權用戶和未允許數據流通過互聯(lián)網訪問校園網，加強了對校園網的安全管理，有效地提高校園網的安全性。另外高校的校園網出口都具有兩個，一個是教育網出口，一條是通過其他網絡服務提供商來連接Internet，在此情形下如果來進行不同需求的數據流出口的選擇。
1 ACL技術概述
1.1 什么是ACL 訪問控制列表簡稱為ACL，使用包過濾技術在路由器上讀取第三層及第四層包頭中的信息，如源地址，目的地址、源端口和目的端口等，根據預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。該技術初期在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機也開始提供ACL的支持了。
1.2 ACL的功能和分類 ①ACL的功能。ACL可以實現(xiàn)如下功能：檢查和過濾數據包；限制網絡流量，提高網絡性能；限制或減少路由更新的內容；提供網絡訪問的基本安全級別；控制用戶網絡行為；控制網絡病毒的傳播。②ACL的分類。根據ACL的功能不同，ACL技術可以做如下分類：標準ACL；擴展ACL；命名ACL；基于時間的ACL；動態(tài)ACL；自反ACL等。按照此順序，ACL越來越具有防火墻的完善防護功能，故而ACL又被稱為軟防火墻。
1.3 ACL的基本原理和應用規(guī)則
①ACL的工作原理。ACL技術提供了一種安全訪問網絡選擇機制，它可以控制和過濾通過網絡互聯(lián)設備接口上信息流，對該接口進入、流出的數據進行安全檢測。實施ACL安全訪問技術首先需要在網絡互聯(lián)設備上定義ACL規(guī)則，然后將定義好的規(guī)則應用到檢查的接口上。該接口一旦激活以后，就自動按照ACL中配置的命令，針對進出的每一個數據特征進行匹配，決定該數據包被允許通過還是拒絕。在數據包匹配檢查的過程中，指令的執(zhí)行順序自上而下匹配數據包，邏輯地進行檢查和處理。
在ACL技術的工作過程中，為了確定路由器要過濾的有效地址范圍，需要使用通配符屏蔽碼，它和子網掩碼的寫法相似，都是一組32比特的二進制字符串，但二者具有不同的表示功能，工作原理不同。其0表示“匹配”、“檢查”所對應的網絡位，二進制的1表示“不匹配”對應的網絡位。從應用的寫法上，通配符屏蔽碼和子網掩碼正好相反。
②ACL的應用規(guī)則。路由器或三層交換機在檢車規(guī)則時是采用自上而下在ACL條目中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉發(fā)，而不繼續(xù)檢測下面的ACL語句。所以要把更特殊的測試條件放在列表的最前面，默認情況下，當將ACL語句添加到列表中時，它將唄添加到列表的底部或最后。而且，在每個ACL語句最后都有一條看不見的語句，稱為“隱式的拒絕”語句。這條語句的目的是丟棄數據包。如果一個數據包和列表中的每條語句都不匹配，則該數據包被丟棄。
ACL位置的放置也是要認真考慮的，一般來講，只過濾數據包源地址的ACL應該放置在離目的地盡可能近的地方。過濾數據寶的源地址和目的地址以及其他信息的ACL，則應該放在離源地址盡可能近的地方。
1.4 自反ACL和基于時間的ACL 標準和擴展ACL已在很大程度上滿足訪問控制需求，但是在實習網絡應用中可能希望限制在指定時間內不能使用某些應用，而其他時間允許。在這樣的需求下，新增加了一種基于時間的訪問控制列表，它能夠應用于擴展編號ACL或者擴展命名ACL。某些情況下要允許內網訪問外網，但是不允許外網訪問內網，擴展ACL可以實現(xiàn)TCP連接的需求，但是不能用于ICMP、EIGRP、UDP等協(xié)議數據包，自反ACL可以實現(xiàn)多種協(xié)議數據包類型的單向訪問控制。
2 策略路由的應用
相比較于常規(guī)路由的基于目標IP和路由表進行報文的轉發(fā)，策略路由是根據用戶制定的策略進行報文轉發(fā)，是一種比常規(guī)的基于目的路由更靈活的路由機制。路由器轉發(fā)報文時，根據配置的規(guī)則對報文進行過濾。匹配成功則按照一定的轉發(fā)策略進行報文轉發(fā)，也可以修改報文的IP優(yōu)先字段。
3 ACL和策略路由在校園網中的應用
如圖1拓撲圖所示，這是某高職院校的簡略的網絡拓撲圖，網絡設計為三層邏輯結構，接入層、核心層和匯聚層，由于簡略圖中網絡規(guī)模較小，故而將核心層和匯聚層合為一層。核心層（匯聚層）采用一個三層核心交換機，接入層采用二層交換機，出口采用路由器，有兩個出口，一條是教育網出口，一條是電信網出口。
網絡拓撲圖中的服務器為服務器群，包括WWW、FTP、DNS和郵件等服務器，為了簡略，圖中只用一個服務器圖標。圖中主要涉及到學生、教師和服務器組三類用戶，采用VLAN技術，將三類用戶劃分到不同的VLAN中，即可以實現(xiàn)統(tǒng)一管理，又可以保障網絡的安全性。在進行路由規(guī)劃時，全網采用靜態(tài)路由，利用三層交換機實現(xiàn)VLAN之間的互訪。具體的IP地址規(guī)劃如表1所示。
鑒于篇幅的限制，本文主要講解ACL應用的綜合性案例和策略路由在雙出口校園網中的應用。要求實現(xiàn)內部網絡的訪問控制需求及內部網絡與Internet及教育網的訪問控制需求如下：①教師組VLAN10（192.168.10.0/24）網段的主機上存放有敏感數據，因此需限制學生組和外部網絡的主機不能對其進行訪問，但反之是允許的。另外學生組和教師組均可訪問服務器組或連入Internet。②教師組和服務器組的主機可以在任何時候連入Internet，但學生組主機只能在周六和周日的早8點和晚10點對Internet進行訪問，并且只能通過Cernet加入網絡。
配置過程：①對于需求1利用標準訪問控制列表和擴展訪問控制列表均不能完全滿足需求。利用自反特性的ACL對方案進行優(yōu)化。
SW1（config）#ip access-list extended permit-list
SW1（config）#permit tcp any 192.168.11.0 0.0.0.255 reflect backlist timeout 600
SW1（config）#permit udp any 192.168.11.0 0.0.0.255 reflect backlist timeout 120
SW1（config）#permit icmp any 192.168.11.0 0.0.0.255 reflect backlist timeout 10
SW1（config）#permit any any
SW1（config）#ip access-list extended re-acl-list evaluate backlist
SW1（config）#deny ip 192.168.10.0 192.168.11.0 0.0.0.255
SW1（config）#permit ip any any
sw1（config）#interface fa 0/10
SW1（config-if）#ip access-group permit-list in
SW1（config-if）#ip access-group re-acl-list out
②需求2，要限制192.168.10.0網段主機只能在周六和周日的早8點和晚10點使用http服務，需要利用帶時間范圍的ACL來設置。要求192.168.10.0網段主機從Cernet網絡連入Internet。
基于時間的ACL
SW1（config）#interface fa 0/11
SW1（config）#ip access-group 101 in
SW1（config）#time-range http
SW1（config）#periodic saturday 8：00 to Sunday 22：00
SW1（config）#ip access-list 101 permit tcp any any eq 80 http
策略路由實現(xiàn)學生組網段從Cernet網絡連入Internet
R1（config）#access-list 1 permit ip 192.168.10.0 0.0.0.255
R1（config）#route-map access permit 10
R1（config-route-map）#match ip address 1
R1（config-route-map）#set ip default next-hop 210.29.15.1
R1（config-route-map）#route-map access permit 30
R1（config-route-map）#set default interface null0
R1（config）#interface fa 0/0
R1（config-if）#ip policy route-map access
4 結束語
本文中主要介紹了ACL訪問控制列表的技術原理，并且結合具體的網絡拓撲實例及網絡管理需求，介紹了基于時間的ACL和自反ACL結合控制的具體實例，并且利用和ACL相似的策略路由技術來優(yōu)化了網絡出口流量控制。由于ACL的策略性強，維護工作較為繁瑣，對網絡管理人員的技術素質要求高。因此在具體的網絡安全管理與維護中，如何使ACL技術發(fā)揮最佳的作用，以實現(xiàn)管理效益與網絡安全之間的平衡仍然是一個需要值得探討的問題。