摘  要：随着现代信息技术、网络技术和通信技术的发展，我国已经进入信息化时代。在信息化时代，高校的校园网络建设获得了巨大的发展，但同时网络安全问题也日益凸显。面对这样的形势，作为高校，必须对网络进行精细化的控制。而要想实现这一目的，高校管理者应借助ACL技术。文章首先对ACL技术进行简单的分析，然后探讨高校校园网络控制中存在的问题，最后探讨基于ACL的高校校园网络控制技术，以供相关高校参考。

关键词：ACL;校园网络;网络技术;网络安全

中图分类号：TP393.08       文献标识码：A 文章编号：2096-4706（2019）21-0134-03

Abstract：With the modern information technology，network technology and communication technology development，our country has entered the information age，in the information age，university campus network construction also obtained the huge development，but at the same time，network security problem is increasingly highlighted. In the face of such form，as colleges and universities，we must to control refinement of the network. To achieve this purpose，efficient managers should use ACL technology. This paper analysis of ACL technology is simple，and then discusses the problems existing in the college campus network control，finally discusses the college campus network control technology based on ACL，reference for related colleges and universities.

Keywords：ACL;campus network;network technology;network security

0  引  言

近年來，随着网络通信技术的不断发展，在高校校园中，校园网的应用范围不断扩大，逐渐成为教师教学、办公以及学生学习的不可或缺的载体，高校师生对其依赖程度越来越高。在应用需求不断增多的同时，网络安全问题也随之而来，比如各种病毒肆意传播、服务器群遭受攻击、网络资源下载过慢等等，使得原本只需保证基本网络流畅的模式已经无法满足实际的使用需求了。针对这样的发展形势，高校的校园网管理人员必须采用精细化的管理方式，更好地控制网络的使用需求，从而更好地服务于高校教师的办公、教学和学生管理工作。而基于ACL技术的校园网络控制技术，正好能够满足高校校园网络精细化控制管理的需求。

1  ACL技术简介

ACL是英文单词Access Control Lists的首字母简写，意为访问控制列表。这种访问控制列表是通过对经由交换机或路由器的数据流进行判断、分类和过滤的一种技术。其本质是一系列包含着源地址、目的地址以及端口号等信息语句的集合，其中的每一条语句都可被称为通信规则，因为其规定了对到达的数据包进行处理的动作，只有匹配相应规则的数据包中的信息，才能通过访问控制列表访问相应的数据信息，否则就会被拒绝访问，这样就能实现安全控制路由器和网络。

ACL访问控制列表使用的是包过滤技术。在实际的运行中，通过在交换机或路由器上读取网络层以及传输层报头中的端口与地址信息，与预先设定的规则进行匹配，从而判断并过滤访问的数据包。以校园网络中的某品牌路由器为例，其ACL工作流程如图1所示。

从图1所显示的流程可以看出：当访问数据包到达校园网交换机或路由器的接口时，校园网交换机或路由器根据ACL预设的访问控制列表对访问的数据包进行一系列的检验，如果访问的数据包满足第一条规则，就可以根据该规则对数据包进行允许或拒绝处理;如果不能满足第一条规则，则应根据下一条规则继续进行判断，以此类推，直到进行到最后一条规则。如果不能匹配所有预设的规则，或者是满足规则之后对其进行拒绝处理，就要将数据包进行丢弃处理;反之，则是连接到目的接口。但目前，ACL技术仍存在着一定的局限性，如该技术无法识别到具体的人，也无法应用内部权限的级别。

2  ACL技术的语法结构与特性分析

2.1  ACL技术的分类

在实际应用中，ACL技术大致上可以分成两种模式：一是基本型访问控制列表，二是扩展型访问控制列表。其中，基本型访问控制列表仅仅是根据IP报文显示的源地址域与数据包进行匹配，然后进行访问控制，其功能相对较弱;而扩展型访问控制列表，一般又被称为高级访问控制列表，能够根据IP报文显示的更多域，包括源地址域、目的IP地址以及上层协议信息等不同的域来区分并判断数据包，然后进行不同的处理。

2.2  扩展性ACL技术的语法结构分析

扩展性访问控制列表的语法结构如下所示：

access-list[access-list number][permit|deny] [protocol][source-address source wildcard][operator port][destination-address destination-wildcard][operator port][established][log]

2.3  扩展性ACL技术参数的解释

access-list number表示访问列表的范围：其中number 1到99是标准的列表范围，而100到199则表示扩展的列表范围;

permit|deny这两个参数分别表示允许数据包通过和拒绝数据包通过;

protocol这个参数表示需要过滤的协议，比如IP协议、TCP协议、UDP协议、ICMP协议以及OSPF协议等;

source—address source—wildcard则表示指定的源地址域和通配符的掩码;

operator port参数表示端口的操作符，比如等于eq、大于gt、小于It以及非等于neq等，其中port表示的是端口号;

destination—address destination—wildcard这个参数表示目的地址域及其通配符;

established表示允许已经建立连接的TCP数据包通过;

最后的log则表示匹配时生成的日志信息。

3  使用ACL技术时应遵循的原则

3.1  最小特权原则

在使用ACL技术进行网络控制时，首先应遵循最小特权原则，即只给受控制的对象最小的特权，让其能够完成任务即可。因为被控制的总规则是所有分规则的交集，如果只满足其中一部分条件是无法通过的，只有满足全部条件的最小特权，才能在保证完成任务的前提下避免流量的浪费。

3.2  最靠近受控对象原则

在使用ACL技术进行网络流量控制时，还必须遵循最靠近受控对象原则，即在进行规则检查时，采用自上而下的方式进控制列表中一条一条逐条检查，只要发现条件符合的对象就立刻转发，不用再继续监测接下来的语句。

3.3  默认丢弃原则

交换机或路由交换设备中一般都是将最后一句默认为“DENY ANY ANY”，意为：丢弃所有不符合条件的数据包。因此，在使用ACL技术时，使用人员如果不进行修改，在使用时必须重视这一点，避免因不注意丢弃重要的数据包。

4  基于ACL的高校校园网络控制技术中的应用策略

4.1  严格控制木马病毒的网络攻击和传播

当前，随着各大高校规模不断扩大，同一高校中不同院系都建设了自己院系的网络主机，这使得校园网络中的主机数量越来越多，一旦其中某一台主机感染了病毒，病毒便能够很容易利用校园网络迅速传播给其他的主机，或者是肆意攻击网络内其他的主机，这样就会导致木马病毒在校园网络中肆意蔓延。根据研究，一般的木马病毒，特别是蠕虫病毒都是利用相应端口进行攻击或传播的，而这些端口一般都集中在66、135、139、445、4444这几个端口，所以，在使用ACL技术进行高校校园网络控制时，应将其建立在路由交换设备上，过滤这几个端口的数据包，将木马病毒阻止在主机设备之外，从而有效避免或降低木马病毒在校园网络中的传播蔓延和攻击行为。

4.2  严格控制服务器群的服务

当前，各大高校的校园网络中都安装有不同类型的应用服务器，例如DNS服务器、WWW服务器、FTP服务器以及E-mail服务器等，这些服务器一般都被划分在vlanl01中，构成服务器群，以便于更好地为广大师生提供服务。因此，这些服务器也往往是木马病毒攻击的重点所在。为了更好地服务广大师生，应加强这些服务器群端口的控制管理工作，只开放相应的端口提供服务，关闭其他不用的端口，这样就能及时过滤拦截含有木马病毒的数据包，保障服务器群的安全性，从而更好地为广大师生服务。

4.3  严格控制上网的时间

当前，各大高校不同的院系都建立了自己的多媒体教室，在教学中便于学生的上机实践。但很多时候，有的院系为了增加自身的利益，在教学时间之外也会开放机房，让学生利用机房上网，这样就严重影响到整体校园网络的网速。为了避免这一现象的发生，校园网络总机应借助ACL技术中时间控制技术，严格控制各个院系校园网络上网的时间。例如，根据各个院系上机实践课程安排的时间，分别定义不同院系上机时间的范围，在其没有上机实践课程时，不能随意打开机房上网。通过这样严格控制上网的时间，能有效避免校园网络流量的浪费，保证各院系机房上机实践的网速不受影响。

4.4  严格控制下载的流量

当前，各大高校的师生在进行网络下载时，一般都是使用IDM、FDM、猎鹰、迅雷极速版以及qBittorrent，这些下载软件大部分都含有捆绑广告成分，且在下载的同时，还会上传部分网络资源进行共享，这样就会占据较多的网络流量，一旦下载的人过多，就会导致校园网网速迅速变慢，甚至还会出现网页打不开的现象。而造成这种现象绝大部分的原因都是外部的主机主动链接校园网内部主机而产生的流量消耗，因为这些软件大都是基于TCP协议而进行的。在面对这种现象时，就可以基于ACL技术进行反向访问控制，严格控制外部网络的主机，只允许学生主动用学生区域的主机连接外部主机进行下载，而外部主机无法主动连接学生区域的主机下载资源，这样不但能节约校园网的流量，还不会影响到正常的公共访问。

5  结  论

综上所述，本文详细分析ACL技术的原理，并在此基础上探讨了基于ACL的高校校园网络控制技术中的应用策略，这仅是笔者的一点个人浅见，希望能对相关高校校园网络控制提供参考。当然，目前，ACL技术仍存在一定的不足，但随着技术的发展，ACL技术会在高校校园网中发挥出越来越大的作用，为高校校园网络的控制提供更大的方便。

参考文献：

[1] 刘文.基于智慧校园的高校网络安全优化分析 [J].网络安全技术与应用，2018（2）：99+102.

[2] 姚建伟，孙良旭.基于ACL的高校校园网网络流量安全控制策略分析 [J].数码世界，2017（10）：93-94.

[3] 陈涛.ACL技术在校园网络安全中的应用 [J].网络安全技术与应用，2017（10）：98-99.

[4] 石峰.访问控制列表ACL在校園网中的作用分析 [J].电脑知识与技术，2017，13（33）：70-71+76.

[5] 杨明.ACL技术在高校校园网安全中的研究及应用 [J].信息与电脑（理论版），2016（15）：72-74.

[6] 郑志凌，李健，胡庆龙.基于ACL的高校校园网网络流量安全控制策略研究及应用 [J].电脑知识与技术，2015，11（2）：55-56.

作者简介：方晖（1976.05-），男，汉族，广东惠来人，计算机应用高级实验师，硕士，研究方向：软件技术、教育技术、教学资源课程建设、信息网络安全。