高彬

（山东省滨州市邹平市礼参中学，山东 滨州 256200）

0 引言

校园网局域网络的组成部分有很多，涉及管理、教学、行政、学生机房网络和多系部办公网络等。现阶段高校校园网网络流量最为常见的三种类型就是HTTP、P2P和对等网流量，它们支撑着校园网的基本载体一直维持为数字信息平台，在很大程度上推动了校园内教学资源与网络信息数据共享化、互动化的发展。不过ACL技术的有效应用让校园路由器访问控制列表进入了全新的改善阶段，通过对路由器和交换出入口之间访问细则的更新设置，顺利实施了校园网络安全管理及流量的合理控制。

1 ACL工作原理

将ACL技术应用于路由器配置中就能有效过滤出入于路由器器接口的数据包，具体工作过程就是数据包中第三、第四这两层包头中的信息，比如源端口号、源IP地址、目的端口号、目的IP地址和协议类型等会读取到路由器中，首先进入对比环节，将访问控制列表中的首条语句条件作为对比标准，以匹配为例，需要围绕语句中的允许（permit）和拒绝（deny）数据流通过量进行对比，无需找寻另外的语句，完成ACL执行指令即可[1]；在第一条语句不匹配的时候再按顺序进行第二条、第三条语句比较，直至最后一句；在过程中遇到匹配条件时，就直接按照匹配语句的permit和deny执行即可；若没有一条符合匹配条件的语句，需要以末尾隐式deny语句执行，拒绝数据流通过。

2 ACL技术分类与功能

根据所使用的判断条件不同，ACL基本上分为以下两大类。

2.1 标准ACL

标准ACL表号的选择通常都在1-99或者1300-1999数字之间，标准ACL能完全屏蔽某个网络全部的通信流量，或接收某一特定网络全部通信流量。标准ACL将数据包源IP地址作为判断语句的依据和条件，因此功能上有所限制，只能应用于某个主机或网络的数据包过滤。

2.2 扩展ACL

拓展ACL表号的选择通常在100-199或者2000-2699数字之间，扩展ACL语句判断条件的依据较为多元化，可以是目的IP地址、数据包的源IP地址，也可以是数据访问端口或协议。

2.3 ACL的作用与功能

一是限流和提升网络性能。比如基于数据包协议指定该类型数据包为特殊优先级，经过路由器端口时可优先处理；二是提供控制通信流量的渠道。ACL对路由器信息更新长度具有简化或限定的作用，以此让某个网段的通信流量得到合理限制；三是提供基础性的安全网络访问渠道[2]；四是判定并分类路由器接口处通信流量的转发或阻塞。就具体的校园网管理实践来说，在工作时间要利用ACL才能顺利运用WWW这一功能；还能实现教学期间阻塞机房与外网的访问链接。

2.4 ACL使用原则和工作过程

ACL的使用原则之一是最小特权原则，只针对受控对象完成任务的需要给予最低权限。就总体控制规则来说就是多个规则的交集，未满足所有条件时则不可通过规则；二是最靠近受控对象原则，控制每个网络层访问权限，根据自上而下的顺序注意检测每条检查规则，有符合条件的就可立马转发，不用继续完成后面ACL语句检测[3]；三是默认丢弃原则，直接将最后一句默认为ACL中融入DENY ANY ANY，在CISCO路由交换设备中直接丢弃与条件不符的数据包。

ACL的数据包访问控制列表设置是基于路由器和交换机完成的，有效匹配当中的判断语句。列表在遇到符合匹配语句后就直接跳过后面的信息接受访问；对于不匹配的数据包将直接被淘汰，如图1。

图1 ACL的实际工作流程示意图

3 ACL技术在高校校园网流量安全控制中的策略分析

在信息化建设进程飞速进步的过程中，高校校园网实现了迅猛发展，诸如移动校园、智慧校园等新型校园网理念已经完成了大范围的渗透，学生以及教职工无论是学习、工作还是生活都建立了对校园网网络的依赖性。所以，有必要探究ACL技术对校园网流量安全控制的应用策略和相关问题。

3.1 有效防范外来黑客病毒入侵与传播

就现阶段Windows系统来说，其系统漏洞很容易受到外来黑客病毒的猛烈攻击，最糟糕的情况就是陷入网络瘫痪或出现宕机，其中135/138/445/1434这些UDP端口会被病毒程序扫描，另外还有135/137/138/139/4444/9995这些TCP端口，这些都是易受到攻击以及识别难度系数不大的端口[4]。应用了ACL技术的端口deny语句配置就可阻断病毒传播，其中还会合理过滤ICMP数据包，然后通过PING命令对存在于主机中的在线病毒程序进行全面探测。通常情况下不会遇到PING失效，其能让网络中毒率得以有效控制，具体配置如下。

很多种类的病毒都处于动态演变进化的过程，对于病毒扫描端口中的病毒识别环节可以通过ACL技术的应用来适当避免这个问题，在本地网络配置中实施防毒策略的定期优化。有一点要注意，不可直接照搬类似配置规则，否则很容易导致ACL技术失效，进而不具备控制网络流量安全的功能。

3.2 合理有效的控制网络流量

现阶段在校园网中有着较高应用率的P2P下载工具有QQ下载、云端网盘、迅雷、360等，这些工具在具体应用中会占用非常高的宽带流量，经常会引发网络缓慢问题[5]。ACL技术对常用的、较为流行的P2P软件端口号有所了解和掌握，比如3076和3078就是迅雷软件的常用端口号，在此基础上运用ACL技术针对性的开展点对点的迅雷软件控制，并在高校校园网中设置一个日常办公时间段，比如8:00AM～4点PM，在这一时间段中要确保各种教学资源的数据和多种办公软件能够正常顺利的使用，对此需要将ACL技术安全控制策略配置于其中。

而学生网络使用的专用安全控制策略则设置为。

这样一来就能在很大程度上避免在日常办公时间段智能观，学校校园网的主要应用需求不受影响，与此同时对学生网段的上网时间以及网络流量做到合理有效的控制。

4 结语

总而言之，ACL技术在学校校园网中的应用不单单是网络管理，更重要的是建设网络安全，提供校园网关键服务器的有效保护、给校园网主机提供安全管理，提升整个网络管理的安全性和稳定性。另外，因为拓展ACL对CUP和路由器的资源消耗量非常大，所以需要在具体应用过程中适当的减少低档路由器中拓展ACL条目数，最好能将其转换为标准ACL，最大化的发挥ACL技术对校园网安全运行的维护作用。