◆陈 涛

（深圳职业技术学院教育技术与信息中心 广东 518055）

ACL技术在校园网络安全中的应用

◆陈 涛

（深圳职业技术学院教育技术与信息中心 广东 518055）

ACL访问控制列表技术，是网络安全管理中的一项常用技术。在校园网络设备不断增多、网络安全管理难度加大的环境下，本文通过在几种应用场景下实施ACL技术，给出具体的ACL配置方法，有效地保障了校园网络的安全。

校园网安全；访问控制列表；网络病毒；网络流量

0 引言

当前，我国所有高校均建有校园网，校园网承担着教学、科研、办公以及对外交流等多项职能，成为了高校教育和科研的重要信息基础设施。但随着校园网络规模的扩大、用户的增多，许多的应用系统新建，校园网流量增大，随之出现了各类安全问题，有ARP伪装、蠕虫病毒、Ddos拒绝服务、信息泄露、僵尸主机等问题，校园网络安全日益突显[1]。而ACL技术，它能提供数据报文的过滤，能保证正常的资源访问，又能拒绝不希望的访问连接，如果在校园网络中应用恰当，能极大保护校园网络，保障校园网络的正常运行[2]。

1 ACL技术的概述

ACL(Access Control List)，即访问控制列表，在路由器、交换机等网络设备上配置[3]。它使用包过滤技术，对经过的数据包进行判断和过滤，通过符合ACL规则的数据包，拒绝不符合ACL规则的数据包，从而达到访问控制的目的。ACL规则初期仅有Cisco路由器支持，近些年来，已被扩展应用到三层交换机、二层交换机、防火墙、Web应用防火墙等网络设备，支持厂商也由Cisco扩展到华为、H3C等公司。ACL一般可分为标准ACL和扩展ACL。标准ACL是基于源地址进行过滤，列表编号是1-99，1300-1999。扩展ACL除了提供基于数据包源地址的过滤外，还支持对协议、目的地址、端口号进行流量过滤，列表编号是100-199，2000-2699。

一个 ACL列表，可以是一条语句，也可以有多条语句，每个语句实施一条过滤规则。一般，ACL列表被配置在网络设备的端口或 VLAN中实现。流经端口或 VLAN中的数据包，首先与ACL中的第一条语句进行匹配，匹配符合时，代表着该数据包执行这条 ACL语句规定的“允许”或者“拒绝”通过操作，并自动忽略后面的 ACL语句，接着对第二个数据包进行过滤。匹配不符合时，就依 ACL语句的顺序，进行后续语句的匹配，直至匹配符合时才跳出 ACL列表，执行相应的“允许”或“拒绝”操作。如果 ACL列表语句匹配都不符合，该数据包就会被执行“拒绝”通过操作。

在配置ACL规则时，一般应当遵循3个基本原则：一是最小特权原则，只给受控对象完成任务所必须的最小的权限。二是最靠近受控对象原则，就是说，在检查规则时是采用自上而下在ACL列表中逐一检测，只要发现匹配符合就立刻转发，而不继续检测之后的ACL语句。三是默认丢弃原则，Cisco路由和交换设备，在ACL末尾会自动加上了一条默认规则Deny any any。也就是说，一个数据包，在执行完所有的 ACL语句后，仍没有找到匹配符合，就会拒绝这个数据包，进行丢弃。

2 ACL技术在校园网络中的应用场景

随着校园信息化建设的推进，移动校园、智慧校园等新理念的提出，校园网中的运行设备、信息系统和资源不断增多，学校师生对校园网的依赖越来越大，网络安全环境愈来愈复杂，管理难度加大。但 ACL技术具有配置简便、快速的特点，在校园网络的4个场景中配置适当的ACL规则，能有效防范病毒威胁，保障校园网络的安全。

2.1 限定配置交换机、路由器的登录主机

在校园网中，交机机、路由器是最基础、最常见的网络设备。随着交换技术的发展，目前校园网中的路由器由带路由功能的三层交换机替代，所以，接入设备均是二层或三层交换机[4]。如果不对访问交换机、路由器的主机作限制，会出现教师、学生或是外来人员接入校园网，又知道设备的用户名和密码后，恶意访问和攻击网络设备的情况。轻则改变交换机的端口配置，致使其它教师和学生不能上网。重则使教师和学生的上网信息发生泄露、网络发生链路瘫痪等。故有必要对其进行限定主机访问。一般的二层交换机，可以限定一个VLAN段的主机访问，这个VLAN段是网络设备管理员的上网VLAN段。重要的二层交换机和三层交换机，可以给予更严格的限制，限定几个 IP地址进行访问。通过在交换机上配置ACL规则来实现限定可以登录的主机。以H3C 3952交换机为例，具体配置如下：

[Sysname] acl number 1300

[Sysname-acl-basic-1300] rule 0 permit source 10.1.20.0 0.0.0.255 #10.1.20.0/24为网管VLAN

[Sysname-acl-basic-1300] rule 5 deny

[Sysname] user-interface vty 0 4 #对Telnet用户进行限定

[Sysname-ui-vty0-4] acl 1300 inbound

[Sysname] ip http acl 1300 #对Web用户进行限定

2.2 阻断网络病毒在内网中的传播

2017年5月12日20时，新型“蠕虫”式勒索病毒WannaCry在全球多地爆发。WannaCry勒索病毒的传入原理，是外网带病毒的主机，通过连接校园内网主机的445端口，从外网向内网传入病毒。如果内网中一台电脑中了病毒，这台电脑会通过访问其它电脑开放的135、137、139等共享端口，将病毒感染给其它电脑，从而在内网中传播蔓延。个人电脑防范勒索病毒的一个应对方法，就是关闭135、137、139等端口。关闭电脑端口这个技术措施，需要一定的专业技术知识，对于大多数校园网用户来说，是不知道怎么操作的。而且，一些用户偷懒不去关闭这些端口，这也能影响到整个校园网的病毒防范。因而，我们可以在个人电脑前端的接入交换机上，配置ACL规则，关闭掉135、137、139等这类端口，起到阻断网络病毒传播的作用。

以H3C 3952交换机为例，具体配置如下：

[Sysname] acl number 2000

[Sysname-acl-adv-2000] rule 10 deny TCP destination 10.0.0.0 0.255.255.255 destination-port eq 135 //10.0.0.0/8为内网网段

[Sysname-acl-adv-2000] rule 20 deny UDP destination 10.0.0.0 0.255.255.255 destination-port eq 135

…… //关闭TCP、UDP的137、139端口

[Sysname-acl-adv-2000] rule 70 permit ip

[Sysname] int g1/1 //g1/1为交换机的千兆上联端口

[Sysname-GigabitEthernet1/1] packet-filter inbound ip-group 2000 //应用规则2000

2.3 控制网络流量

校园网中，有HTTP访问、电子邮件、FTP、BT、视频等这些流量。在上班时间，如果不对极大占用网络带宽的 BT、视频等流量进行限制的话，会挤占其它教职工的HTTP等办公访问的带宽，致使网络丢数据包，产生网络时延，影响教职工的上网体验[5]。

通过在时间段的不同设置, 在正常工作时间内，限制或禁止BT下载, 不让BT下载流量挤占正常办公使用的带宽, 保障校园网络中的关键业务带宽。在非正常工作时间, 允许网络用户利用空闲的网络带宽进行BT下载，享受校园网带来的休闲乐趣。而BT下载是通过开放6880和6890这两个端口通信来实现，因而，可以在网络出口的交换机上配置ACL规则，达到限制BT下载流量、保障办公流量的目的。以交换机H3C 9512为例，配置如下：

[Sysname]time-range student-limit 0:00 to 6:00 working-day #周一至周五的0-6点拒绝学生上网

[Sysname]time-range work-limit 8:00 to 17:00 working-day #周一至周五的8-17点为上班时间

[Sysname] acl number 2100

[Sysname-acl-basic-2100] rule 0 deny ip source 10.2.0.0 0.0.255.255 time-range student-limit #10.2.0.0为学生上网VLAN，拒绝学生在周一至周五的0-6点上网

[Sysname-acl-basic-2100] rule 5 deny ip source 10.2.0.0 0.0.255.255 destination-port range 6880 6890 time-range work-limit#拒绝学生在周一至周五的8-17点进行BT下载

[Sysname] int g1/25 #进入端口g1/25,g1/25为学生区域接入到H3C 9512的端口

[Sysname-GigabitEthernet1/25] acl 2100 inbound #对访入端口g1/25的流量进行控制

2.4 限定对Web服务器的访问和Web服务器的对外访问

随着校园网络的建立和不断完善，每个学校的校园网，均搭建了自己的的门户网站和Web服务器系统。这些Web网站给外界提供一个了解学校的窗口，而且还支撑着各种各样的信息服务，如学校新闻发布、校务信息的公开、学生成绩的登录和查询、工资查询、精品课程教学资源等。由于要对外界提供一个访问入口，Web网站就始终暴露在互联网中，很容易受到来自网络的攻击。因而，有必要限定对Web服务器的访问和Web服务器的对外访问，这可以通过在 Web服务器前端部署一台防火墙，在防火墙上配置ACL规则来实现。以华为Eudemon500防火墙为例，将服务器区划为trust区，服务器外部区划为untrust区，在防火墙上配置访入、访出规则，配置如下：

Eudemon500]acl number 2000 #Web服务器访出规则

[Eudemon500-acl-adv-2200]rule 5 permit ip source 10.1.50.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 #10.1.50.0/24为Web服务器VLAN,10.0.0.0/8为内网，允许Web服务器访问内网资源

[Eudemon500-acl-adv-2200]rule 10 permit ip source 10.1.50.20 0 destination 183.57.48.62 0 #10.1.50.20为一个二级学院的Web服务器,183.57.48.62为api.weixin.qq.com的IP (微信公众号接口)，允许10.1.50.20访问微信公众号接口

[Eudemon500-acl-adv-2200]rule 15 deny any any #除以上规则允许外，其它均拒绝

[Eudemon500]acl number 2250 #访入Web服务器规则

[Eudemon500-acl-adv-2250]rule 5 permit tcp destination-port eq 80 #开放Web服务器的80(web访问)端口

图1 防火墙的trust和untrust区

[Eudemon500-acl-adv-2250]rule 10 permit tcp source 10.1.20.0 0.0.0.255 destination-port eq 3389 #对网管段开放Web服务器的3389(远程登录)端口

[Eudemon500-acl-adv-2250]rule 15 permit tcp source 10.1.3.0 0.0.0.255 destination 10.1.20.151 #10.1.3.0/24为财务处 Wlan段,10.1.20.151为财务管理系统，允许财务处人员访问财务管理系统

[Eudemon500-acl-adv-2050]rule 20 permit tcp source 10.0.0.0 0.255.255.255 destination 10.1.20.152 #10.0.0.0/8为内网,10.1.20.152为校务系统，允许校内人员访问校务系统

[Eudemon500-acl-adv-2000]rule 15 deny any any #除以上规则允许外，其它均拒绝

[Eudemon500]firewall interzone trust untrust #进入区域配置

[Eudemon500-interzone-trust-untrust]packet-filter 2200 outbound #置规则2000为访出规则

[Eudemon500-interzone-trust-untrust]packet-filter 2250 inbound #置规则2050为访进规则

3 结束语

ACL作为网络安全管理中的一项常用技术，具有配置简便、快速的特点，如果在校园网络中应用恰当，能极大保护校园网络，保障校园网络的正常运行。但它存在两个方面的局限：一是执行ACL语句会增加网络设备的开销。二是ACL技术过滤的是第三层和第四层包头中的部分信息，无法控制应用级的权限访问，要达到端到端的权限控制，需要 ACL技术与应用级的访问控制结合使用。

[1]郭可.高校校园网络安全技术及应用[J].电脑知识与技术，2016.

[2]谢克武.高校校园网络安全现状及防范对策[J].计算机安全,电子技术与软件工程，2017.

[3]王坦，徐爱超，郭学义等.基于ACL的网络安全策略应用研究[J].计算机安全，2014.

[4]覃德泽，张家伟.ACL技术在校园网核心设备的配置方案[J].网络安全技术与应用，2016.

[5]刘亚凤，肖辰，马永新.基于 ACL的高校校园网络流量安全控制策略探究[J].网络安全技术与应用，2016.

2016年深圳职业技术学院科研项目（601622K37006）。