基于ACL的高校校园网网络流量安全控制策略分析
2017-12-01姚建伟孙良旭指导教师辽宁科技大学
姚建伟 孙良旭(指导教师) 辽宁科技大学
基于ACL的高校校园网网络流量安全控制策略分析
姚建伟 孙良旭(指导教师) 辽宁科技大学
ACL(Access Control List)即访问控制列表,它是指路由器与交换机接口的指令列表,专门用来控制路由器与交换机端口进出的数据包。为了稳定扩大网络规模,优化安全使用状况,增加网络流量,当前高校校园网就在使用ACL应用技术,利用它的数据包判断、分类与过滤能力来优化网络流量安全控制过程。文中简要探讨了ACL技术在高校校园网网络流量安全控制方面的基本作用与相关策略。
ACL 高校校园网 网络流量安全控制策略 作用
当前高校校园网网络流量的主要构成就包括了HTTP、P2P和对等网流量3种类型,它们保证校园网始终以数字信息平台作为基本载体,推动了校园内网络信息资源与教学资源的互动与共享进程。而ACL技术的加入则对校园路由器访问控制列表进行了新一轮的改善,它重新设置了路由器与交换机出入口的访问规则,对校园网络安全管理实施了合理化把控。
1 、ACL技术在高校校园网流量安全控制中的实际作用分析
ACL主要经过交换机、路由器等设备来实现数据包访问控制列表设置,对其中的判断语句进行有效匹配。当匹配符合以后,列表就会自动忽略后面语句,这代表语句已经通过访问。而如果不匹配,则要继续通过访问列表进行后续匹配,不匹配的数据包则会被淘汰,如图1。
图1 ACL的实际工作流程示意图
目前在高校校园网流量安全控制体系中拥有3种ACL技术,它们分别负责对标准数据包源地址的检查、对数据包源地址与目标地址的扩展,以及对数据包源地址与目标地址的时间控制,进而达成对上网有效时间的控制。这些功能在高校校园流量安全管控方面都具有重要的实践价值。除此之外,ACL技术在高校校园网网络流量安全控制方面还存在3点作用。
第一,它能够保障校园网在实际运行使用过程中的安全性,避免外来病毒与木马的侵入。当前对高校校园网威胁最大的无疑是网络病毒,而通过ACL技术则可以实现对不安全网络地址、包括网络端口、交换机端口与路由器端口的封锁,全面实现网络安全维护目标。
第二,它能够优化校园网网络流量使用。现如今,ACL技术可以允许校园网内部主机与外网主机相互连接,但严禁外网主机主动与内网主机连接,这也是为了控制校园网大量带宽与资源内容,控制费学习与教学活动网络资源在校园网内部的传播过程,这也是对校园内网络流量的间接控制,保证校园网网络流量资源的合理分配与优化应用。
第三,它能够合理控制大学生用户的上网时间。目前大学生是我国网络用户的主力群体,他们对于网络的依赖最为严重,在自我约束与限制能力方面表现较差。所以高校采用ACL技术也是为了对校园网用户上网时间采取强制控制,包括对地点与信息内容的强制性管控,保证大学生健康上网。
2 、ACL技术在高校校园网流量安全控制中的策略分析
当前高校校园网发展迅速,信息化建设进程已经大行其道,像智慧校园、移动校园等等全新校园网理念已经逐渐渗透,而大学生网民无论是学习还是娱乐、交流对于校园网网络的依赖都越来越大。为此,基于ACL技术的流量安全控制策略提出是有必要的,为此本文也论述了以下两点策略。
2.1 对外来黑客病毒传播与入侵的防范
当前外来黑客病毒对于Windows系统的漏洞攻击相当猛烈,严重时甚至会导致网络瘫痪与宕机,一般被病毒程序扫描的UDP端口就包括了135、138、445、1434等等,而TCP端口方面则包括了135、137、138、139、4444、9995等等,这些端口非常容易被识别且被攻击。而基于ACL技术对端口配置deny语句就可以阻止病毒传播,包括实现对于ICMP数据包的有效过滤,再通过PING命令来探测主机中所有的在线病毒程序。一般来说可能会出现PING不通状况,它也能够在一定程度上降低网络中毒概率,它的具体配置如下:
Access-list 199 deny tcp any eq 136
如果在病毒扫描端口识别病毒过程中病毒的种类不断演变进化,则还可以基于ACL技术来定期优化防毒策略,将其配置于本地网络中。但需要注意的是,绝对不能抄袭其他配置规则,这样可能会引发ACL技术的失效,无法实现网络流量安全控制。
2.2 对网络流量的有效控制
目前像迅雷、QQ下载、网盘等等是比较流行的P2P下载工具,它们在带宽占用方面也较高,容易导致网络缓慢。ACL需要掌握这些P2P软件的端口号,例如迅雷的常用端口号就是3076和3078,运用ACL技术对迅雷软件实施点对点控制,设置高校校园网的正常办公时间段,例如从上午8点~下午4点为办公时段,该时段要保证办公软件、教学资源数据等等关键应用及内容的正常使用,所以可以为其配置ACL安全控制策略:
Route(config)#absoulute start 0:00 day1 end 23:59 day2 perildic weekday 8:00 to 16:00.
而学生网络使用的专用安全控制策略则设置为:
Access-list 199 deny ip tcp any eq 6890.
如此一来,就能保证高校校园网在办公时间段的关键应用不受影响,同时也控制了学生网段的网络流量与上网时间。
总而言之,高校校园网网络流量控制工作是相当繁琐且系统的,基于ACL的技术内容为这一控制工作提供了合理的出口流量参考、病毒防控与网络带宽分配机制,保证了高校校园网的网络服务质量。
[1]郑志凌,李健,胡庆龙等.基于ACL的高校校园网网络流量安全控制策略研究及应用[J].电脑知识与技术,2015(2):55-56.
[2]闫国栋.ACL技术在路由安全中的应用[J].信息通信,2015(8):83-83,84.
