校園網(wǎng)安全之ACL技術(shù)

 校園網(wǎng)是將學校一個或多個校區(qū)的范圍內(nèi)，為學校教學、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡(luò)。隨著校園網(wǎng)絡(luò)規(guī)模和功能的建設(shè)，校園網(wǎng)成了高校教育和科研的重要信息基礎(chǔ)設(shè)施，承擔著多項重要任務(wù)：如教學、科研、管理以及對外交流等。校園網(wǎng)中運行著兩種信息系統(tǒng)：內(nèi)部和外部。內(nèi)部信息系統(tǒng)的使用限定在校園網(wǎng)內(nèi)部，如教學管理系統(tǒng)、辦公自動化系統(tǒng)和圖書檢索系統(tǒng)等，外部信息系統(tǒng)是對外交流的主要工具，如學校、系部的主頁、電子郵件等。隨著校園網(wǎng)的信息化建設(shè)，網(wǎng)絡(luò)應(yīng)用遍及學校各個角落，為師生提供了大量數(shù)據(jù)資源，方便了師生網(wǎng)上教學、交流、專題討論等活動，為教學和科研提供了很好的平臺，為學生的日常生活帶來了便捷。與此同時，校園網(wǎng)的安全問題變的尤為重要。校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)如何穩(wěn)定、高校的運行，成為校園網(wǎng)管理者需要思考和關(guān)注的問題。
校園網(wǎng)絡(luò)安全采用的技術(shù)很多，如防火墻技術(shù)、入侵檢測系統(tǒng)、防病毒技術(shù)及VPN技術(shù)等，而通過訪問控制列表可以對數(shù)據(jù)進行過濾，是實現(xiàn)基本網(wǎng)絡(luò)安全的手段之一，ACL可以通過對網(wǎng)絡(luò)數(shù)據(jù)流量的控制，即拒絕不希望的訪問鏈接、允許正常的訪問鏈接，從而達到執(zhí)行安全策略的目的。對校園網(wǎng)的路由器設(shè)置恰當?shù)腁CL，能夠?qū)崿F(xiàn)對不同用戶進行分別管理，限定特定網(wǎng)絡(luò)和特定流量訪問互聯(lián)網(wǎng)，或防止未授權(quán)用戶和未允許數(shù)據(jù)流通過互聯(lián)網(wǎng)訪問校園網(wǎng)，加強了對校園網(wǎng)的安全管理，有效地提高校園網(wǎng)的安全性。另外高校的校園網(wǎng)出口都具有兩個，一個是教育網(wǎng)出口，一條是通過其他網(wǎng)絡(luò)服務(wù)提供商來連接Internet，在此情形下如果來進行不同需求的數(shù)據(jù)流出口的選擇。
1 ACL技術(shù)概述
1.1 什么是ACL 訪問控制列表簡稱為ACL，使用包過濾技術(shù)在路由器上讀取第三層及第四層包頭中的信息，如源地址，目的地址、源端口和目的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。該技術(shù)初期在路由器上支持，近些年來已經(jīng)擴展到三層交換機，部分最新的二層交換機也開始提供ACL的支持了。
1.2 ACL的功能和分類 ①ACL的功能。ACL可以實現(xiàn)如下功能：檢查和過濾數(shù)據(jù)包；限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能；限制或減少路由更新的內(nèi)容；提供網(wǎng)絡(luò)訪問的基本安全級別；控制用戶網(wǎng)絡(luò)行為；控制網(wǎng)絡(luò)病毒的傳播。②ACL的分類。根據(jù)ACL的功能不同，ACL技術(shù)可以做如下分類：標準ACL；擴展ACL；命名ACL；基于時間的ACL；動態(tài)ACL；自反ACL等。按照此順序，ACL越來越具有防火墻的完善防護功能，故而ACL又被稱為軟防火墻。
1.3 ACL的基本原理和應(yīng)用規(guī)則
①ACL的工作原理。ACL技術(shù)提供了一種安全訪問網(wǎng)絡(luò)選擇機制，它可以控制和過濾通過網(wǎng)絡(luò)互聯(lián)設(shè)備接口上信息流，對該接口進入、流出的數(shù)據(jù)進行安全檢測。實施ACL安全訪問技術(shù)首先需要在網(wǎng)絡(luò)互聯(lián)設(shè)備上定義ACL規(guī)則，然后將定義好的規(guī)則應(yīng)用到檢查的接口上。該接口一旦激活以后，就自動按照ACL中配置的命令，針對進出的每一個數(shù)據(jù)特征進行匹配，決定該數(shù)據(jù)包被允許通過還是拒絕。在數(shù)據(jù)包匹配檢查的過程中，指令的執(zhí)行順序自上而下匹配數(shù)據(jù)包，邏輯地進行檢查和處理。
在ACL技術(shù)的工作過程中，為了確定路由器要過濾的有效地址范圍，需要使用通配符屏蔽碼，它和子網(wǎng)掩碼的寫法相似，都是一組32比特的二進制字符串，但二者具有不同的表示功能，工作原理不同。其0表示“匹配”、“檢查”所對應(yīng)的網(wǎng)絡(luò)位，二進制的1表示“不匹配”對應(yīng)的網(wǎng)絡(luò)位。從應(yīng)用的寫法上，通配符屏蔽碼和子網(wǎng)掩碼正好相反。
②ACL的應(yīng)用規(guī)則。路由器或三層交換機在檢車規(guī)則時是采用自上而下在ACL條目中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。所以要把更特殊的測試條件放在列表的最前面，默認情況下，當將ACL語句添加到列表中時，它將唄添加到列表的底部或最后。而且，在每個ACL語句最后都有一條看不見的語句，稱為“隱式的拒絕”語句。這條語句的目的是丟棄數(shù)據(jù)包。如果一個數(shù)據(jù)包和列表中的每條語句都不匹配，則該數(shù)據(jù)包被丟棄。
ACL位置的放置也是要認真考慮的，一般來講，只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方。過濾數(shù)據(jù)寶的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方。
1.4 自反ACL和基于時間的ACL 標準和擴展ACL已在很大程度上滿足訪問控制需求，但是在實習網(wǎng)絡(luò)應(yīng)用中可能希望限制在指定時間內(nèi)不能使用某些應(yīng)用，而其他時間允許。在這樣的需求下，新增加了一種基于時間的訪問控制列表，它能夠應(yīng)用于擴展編號ACL或者擴展命名ACL。某些情況下要允許內(nèi)網(wǎng)訪問外網(wǎng)，但是不允許外網(wǎng)訪問內(nèi)網(wǎng)，擴展ACL可以實現(xiàn)TCP連接的需求，但是不能用于ICMP、EIGRP、UDP等協(xié)議數(shù)據(jù)包，自反ACL可以實現(xiàn)多種協(xié)議數(shù)據(jù)包類型的單向訪問控制。
2 策略路由的應(yīng)用
相比較于常規(guī)路由的基于目標IP和路由表進行報文的轉(zhuǎn)發(fā)，策略路由是根據(jù)用戶制定的策略進行報文轉(zhuǎn)發(fā)，是一種比常規(guī)的基于目的路由更靈活的路由機制。路由器轉(zhuǎn)發(fā)報文時，根據(jù)配置的規(guī)則對報文進行過濾。匹配成功則按照一定的轉(zhuǎn)發(fā)策略進行報文轉(zhuǎn)發(fā)，也可以修改報文的IP優(yōu)先字段。
3 ACL和策略路由在校園網(wǎng)中的應(yīng)用
如圖1拓撲圖所示，這是某高職院校的簡略的網(wǎng)絡(luò)拓撲圖，網(wǎng)絡(luò)設(shè)計為三層邏輯結(jié)構(gòu)，接入層、核心層和匯聚層，由于簡略圖中網(wǎng)絡(luò)規(guī)模較小，故而將核心層和匯聚層合為一層。核心層（匯聚層）采用一個三層核心交換機，接入層采用二層交換機，出口采用路由器，有兩個出口，一條是教育網(wǎng)出口，一條是電信網(wǎng)出口。
網(wǎng)絡(luò)拓撲圖中的服務(wù)器為服務(wù)器群，包括WWW、FTP、DNS和郵件等服務(wù)器，為了簡略，圖中只用一個服務(wù)器圖標。圖中主要涉及到學生、教師和服務(wù)器組三類用戶，采用VLAN技術(shù)，將三類用戶劃分到不同的VLAN中，即可以實現(xiàn)統(tǒng)一管理，又可以保障網(wǎng)絡(luò)的安全性。在進行路由規(guī)劃時，全網(wǎng)采用靜態(tài)路由，利用三層交換機實現(xiàn)VLAN之間的互訪。具體的IP地址規(guī)劃如表1所示。
鑒于篇幅的限制，本文主要講解ACL應(yīng)用的綜合性案例和策略路由在雙出口校園網(wǎng)中的應(yīng)用。要求實現(xiàn)內(nèi)部網(wǎng)絡(luò)的訪問控制需求及內(nèi)部網(wǎng)絡(luò)與Internet及教育網(wǎng)的訪問控制需求如下：①教師組VLAN10（192.168.10.0/24）網(wǎng)段的主機上存放有敏感數(shù)據(jù)，因此需限制學生組和外部網(wǎng)絡(luò)的主機不能對其進行訪問，但反之是允許的。另外學生組和教師組均可訪問服務(wù)器組或連入Internet。②教師組和服務(wù)器組的主機可以在任何時候連入Internet，但學生組主機只能在周六和周日的早8點和晚10點對Internet進行訪問，并且只能通過Cernet加入網(wǎng)絡(luò)。
配置過程：①對于需求1利用標準訪問控制列表和擴展訪問控制列表均不能完全滿足需求。利用自反特性的ACL對方案進行優(yōu)化。
SW1（config）#ip access-list extended permit-list
SW1（config）#permit tcp any 192.168.11.0 0.0.0.255 reflect backlist timeout 600
SW1（config）#permit udp any 192.168.11.0 0.0.0.255 reflect backlist timeout 120
SW1（config）#permit icmp any 192.168.11.0 0.0.0.255 reflect backlist timeout 10
SW1（config）#permit any any
SW1（config）#ip access-list extended re-acl-list evaluate backlist
SW1（config）#deny ip 192.168.10.0 192.168.11.0 0.0.0.255
SW1（config）#permit ip any any
sw1（config）#interface fa 0/10
SW1（config-if）#ip access-group permit-list in
SW1（config-if）#ip access-group re-acl-list out
②需求2，要限制192.168.10.0網(wǎng)段主機只能在周六和周日的早8點和晚10點使用http服務(wù)，需要利用帶時間范圍的ACL來設(shè)置。要求192.168.10.0網(wǎng)段主機從Cernet網(wǎng)絡(luò)連入Internet。
基于時間的ACL
SW1（config）#interface fa 0/11
SW1（config）#ip access-group 101 in
SW1（config）#time-range http
SW1（config）#periodic saturday 8：00 to Sunday 22：00
SW1（config）#ip access-list 101 permit tcp any any eq 80 http
策略路由實現(xiàn)學生組網(wǎng)段從Cernet網(wǎng)絡(luò)連入Internet
R1（config）#access-list 1 permit ip 192.168.10.0 0.0.0.255
R1（config）#route-map access permit 10
R1（config-route-map）#match ip address 1
R1（config-route-map）#set ip default next-hop 210.29.15.1
R1（config-route-map）#route-map access permit 30
R1（config-route-map）#set default interface null0
R1（config）#interface fa 0/0
R1（config-if）#ip policy route-map access
4 結(jié)束語
本文中主要介紹了ACL訪問控制列表的技術(shù)原理，并且結(jié)合具體的網(wǎng)絡(luò)拓撲實例及網(wǎng)絡(luò)管理需求，介紹了基于時間的ACL和自反ACL結(jié)合控制的具體實例，并且利用和ACL相似的策略路由技術(shù)來優(yōu)化了網(wǎng)絡(luò)出口流量控制。由于ACL的策略性強，維護工作較為繁瑣，對網(wǎng)絡(luò)管理人員的技術(shù)素質(zhì)要求高。因此在具體的網(wǎng)絡(luò)安全管理與維護中，如何使ACL技術(shù)發(fā)揮最佳的作用，以實現(xiàn)管理效益與網(wǎng)絡(luò)安全之間的平衡仍然是一個需要值得探討的問題。