校園網(wǎng)安全之ACL技術(shù)

 校園網(wǎng)是將學(xué)校一個(gè)或多個(gè)校區(qū)的范圍內(nèi)，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。隨著校園網(wǎng)絡(luò)規(guī)模和功能的建設(shè)，校園網(wǎng)成了高校教育和科研的重要信息基礎(chǔ)設(shè)施，承擔(dān)著多項(xiàng)重要任務(wù)：如教學(xué)、科研、管理以及對(duì)外交流等。校園網(wǎng)中運(yùn)行著兩種信息系統(tǒng)：內(nèi)部和外部。內(nèi)部信息系統(tǒng)的使用限定在校園網(wǎng)內(nèi)部，如教學(xué)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)和圖書檢索系統(tǒng)等，外部信息系統(tǒng)是對(duì)外交流的主要工具，如學(xué)校、系部的主頁、電子郵件等。隨著校園網(wǎng)的信息化建設(shè)，網(wǎng)絡(luò)應(yīng)用遍及學(xué)校各個(gè)角落，為師生提供了大量數(shù)據(jù)資源，方便了師生網(wǎng)上教學(xué)、交流、專題討論等活動(dòng)，為教學(xué)和科研提供了很好的平臺(tái)，為學(xué)生的日常生活帶來了便捷。與此同時(shí)，校園網(wǎng)的安全問題變的尤為重要。校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)如何穩(wěn)定、高校的運(yùn)行，成為校園網(wǎng)管理者需要思考和關(guān)注的問題。
校園網(wǎng)絡(luò)安全采用的技術(shù)很多，如防火墻技術(shù)、入侵檢測(cè)系統(tǒng)、防病毒技術(shù)及VPN技術(shù)等，而通過訪問控制列表可以對(duì)數(shù)據(jù)進(jìn)行過濾，是實(shí)現(xiàn)基本網(wǎng)絡(luò)安全的手段之一，ACL可以通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量的控制，即拒絕不希望的訪問鏈接、允許正常的訪問鏈接，從而達(dá)到執(zhí)行安全策略的目的。對(duì)校園網(wǎng)的路由器設(shè)置恰當(dāng)?shù)腁CL，能夠?qū)崿F(xiàn)對(duì)不同用戶進(jìn)行分別管理，限定特定網(wǎng)絡(luò)和特定流量訪問互聯(lián)網(wǎng)，或防止未授權(quán)用戶和未允許數(shù)據(jù)流通過互聯(lián)網(wǎng)訪問校園網(wǎng)，加強(qiáng)了對(duì)校園網(wǎng)的安全管理，有效地提高校園網(wǎng)的安全性。另外高校的校園網(wǎng)出口都具有兩個(gè)，一個(gè)是教育網(wǎng)出口，一條是通過其他網(wǎng)絡(luò)服務(wù)提供商來連接Internet，在此情形下如果來進(jìn)行不同需求的數(shù)據(jù)流出口的選擇。
1 ACL技術(shù)概述
1.1 什么是ACL 訪問控制列表簡(jiǎn)稱為ACL，使用包過濾技術(shù)在路由器上讀取第三層及第四層包頭中的信息，如源地址，目的地址、源端口和目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。該技術(shù)初期在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)也開始提供ACL的支持了。
1.2 ACL的功能和分類 ①ACL的功能。ACL可以實(shí)現(xiàn)如下功能：檢查和過濾數(shù)據(jù)包；限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能；限制或減少路由更新的內(nèi)容；提供網(wǎng)絡(luò)訪問的基本安全級(jí)別；控制用戶網(wǎng)絡(luò)行為；控制網(wǎng)絡(luò)病毒的傳播。②ACL的分類。根據(jù)ACL的功能不同，ACL技術(shù)可以做如下分類：標(biāo)準(zhǔn)ACL；擴(kuò)展ACL；命名ACL；基于時(shí)間的ACL；動(dòng)態(tài)ACL；自反ACL等。按照此順序，ACL越來越具有防火墻的完善防護(hù)功能，故而ACL又被稱為軟防火墻。
1.3 ACL的基本原理和應(yīng)用規(guī)則
①ACL的工作原理。ACL技術(shù)提供了一種安全訪問網(wǎng)絡(luò)選擇機(jī)制，它可以控制和過濾通過網(wǎng)絡(luò)互聯(lián)設(shè)備接口上信息流，對(duì)該接口進(jìn)入、流出的數(shù)據(jù)進(jìn)行安全檢測(cè)。實(shí)施ACL安全訪問技術(shù)首先需要在網(wǎng)絡(luò)互聯(lián)設(shè)備上定義ACL規(guī)則，然后將定義好的規(guī)則應(yīng)用到檢查的接口上。該接口一旦激活以后，就自動(dòng)按照ACL中配置的命令，針對(duì)進(jìn)出的每一個(gè)數(shù)據(jù)特征進(jìn)行匹配，決定該數(shù)據(jù)包被允許通過還是拒絕。在數(shù)據(jù)包匹配檢查的過程中，指令的執(zhí)行順序自上而下匹配數(shù)據(jù)包，邏輯地進(jìn)行檢查和處理。
在ACL技術(shù)的工作過程中，為了確定路由器要過濾的有效地址范圍，需要使用通配符屏蔽碼，它和子網(wǎng)掩碼的寫法相似，都是一組32比特的二進(jìn)制字符串，但二者具有不同的表示功能，工作原理不同。其0表示“匹配”、“檢查”所對(duì)應(yīng)的網(wǎng)絡(luò)位，二進(jìn)制的1表示“不匹配”對(duì)應(yīng)的網(wǎng)絡(luò)位。從應(yīng)用的寫法上，通配符屏蔽碼和子網(wǎng)掩碼正好相反。
②ACL的應(yīng)用規(guī)則。路由器或三層交換機(jī)在檢車規(guī)則時(shí)是采用自上而下在ACL條目中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語句。所以要把更特殊的測(cè)試條件放在列表的最前面，默認(rèn)情況下，當(dāng)將ACL語句添加到列表中時(shí)，它將唄添加到列表的底部或最后。而且，在每個(gè)ACL語句最后都有一條看不見的語句，稱為“隱式的拒絕”語句。這條語句的目的是丟棄數(shù)據(jù)包。如果一個(gè)數(shù)據(jù)包和列表中的每條語句都不匹配，則該數(shù)據(jù)包被丟棄。
ACL位置的放置也是要認(rèn)真考慮的，一般來講，只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方。過濾數(shù)據(jù)寶的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方。
1.4 自反ACL和基于時(shí)間的ACL 標(biāo)準(zhǔn)和擴(kuò)展ACL已在很大程度上滿足訪問控制需求，但是在實(shí)習(xí)網(wǎng)絡(luò)應(yīng)用中可能希望限制在指定時(shí)間內(nèi)不能使用某些應(yīng)用，而其他時(shí)間允許。在這樣的需求下，新增加了一種基于時(shí)間的訪問控制列表，它能夠應(yīng)用于擴(kuò)展編號(hào)ACL或者擴(kuò)展命名ACL。某些情況下要允許內(nèi)網(wǎng)訪問外網(wǎng)，但是不允許外網(wǎng)訪問內(nèi)網(wǎng)，擴(kuò)展ACL可以實(shí)現(xiàn)TCP連接的需求，但是不能用于ICMP、EIGRP、UDP等協(xié)議數(shù)據(jù)包，自反ACL可以實(shí)現(xiàn)多種協(xié)議數(shù)據(jù)包類型的單向訪問控制。
2 策略路由的應(yīng)用
相比較于常規(guī)路由的基于目標(biāo)IP和路由表進(jìn)行報(bào)文的轉(zhuǎn)發(fā)，策略路由是根據(jù)用戶制定的策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)，是一種比常規(guī)的基于目的路由更靈活的路由機(jī)制。路由器轉(zhuǎn)發(fā)報(bào)文時(shí)，根據(jù)配置的規(guī)則對(duì)報(bào)文進(jìn)行過濾。匹配成功則按照一定的轉(zhuǎn)發(fā)策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)，也可以修改報(bào)文的IP優(yōu)先字段。
3 ACL和策略路由在校園網(wǎng)中的應(yīng)用
如圖1拓?fù)鋱D所示，這是某高職院校的簡(jiǎn)略的網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)設(shè)計(jì)為三層邏輯結(jié)構(gòu)，接入層、核心層和匯聚層，由于簡(jiǎn)略圖中網(wǎng)絡(luò)規(guī)模較小，故而將核心層和匯聚層合為一層。核心層（匯聚層）采用一個(gè)三層核心交換機(jī)，接入層采用二層交換機(jī)，出口采用路由器，有兩個(gè)出口，一條是教育網(wǎng)出口，一條是電信網(wǎng)出口。
網(wǎng)絡(luò)拓?fù)鋱D中的服務(wù)器為服務(wù)器群，包括WWW、FTP、DNS和郵件等服務(wù)器，為了簡(jiǎn)略，圖中只用一個(gè)服務(wù)器圖標(biāo)。圖中主要涉及到學(xué)生、教師和服務(wù)器組三類用戶，采用VLAN技術(shù)，將三類用戶劃分到不同的VLAN中，即可以實(shí)現(xiàn)統(tǒng)一管理，又可以保障網(wǎng)絡(luò)的安全性。在進(jìn)行路由規(guī)劃時(shí)，全網(wǎng)采用靜態(tài)路由，利用三層交換機(jī)實(shí)現(xiàn)VLAN之間的互訪。具體的IP地址規(guī)劃如表1所示。
鑒于篇幅的限制，本文主要講解ACL應(yīng)用的綜合性案例和策略路由在雙出口校園網(wǎng)中的應(yīng)用。要求實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的訪問控制需求及內(nèi)部網(wǎng)絡(luò)與Internet及教育網(wǎng)的訪問控制需求如下：①教師組VLAN10（192.168.10.0/24）網(wǎng)段的主機(jī)上存放有敏感數(shù)據(jù)，因此需限制學(xué)生組和外部網(wǎng)絡(luò)的主機(jī)不能對(duì)其進(jìn)行訪問，但反之是允許的。另外學(xué)生組和教師組均可訪問服務(wù)器組或連入Internet。②教師組和服務(wù)器組的主機(jī)可以在任何時(shí)候連入Internet，但學(xué)生組主機(jī)只能在周六和周日的早8點(diǎn)和晚10點(diǎn)對(duì)Internet進(jìn)行訪問，并且只能通過Cernet加入網(wǎng)絡(luò)。
配置過程：①對(duì)于需求1利用標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表均不能完全滿足需求。利用自反特性的ACL對(duì)方案進(jìn)行優(yōu)化。
SW1（config）#ip access-list extended permit-list
SW1（config）#permit tcp any 192.168.11.0 0.0.0.255 reflect backlist timeout 600
SW1（config）#permit udp any 192.168.11.0 0.0.0.255 reflect backlist timeout 120
SW1（config）#permit icmp any 192.168.11.0 0.0.0.255 reflect backlist timeout 10
SW1（config）#permit any any
SW1（config）#ip access-list extended re-acl-list evaluate backlist
SW1（config）#deny ip 192.168.10.0 192.168.11.0 0.0.0.255
SW1（config）#permit ip any any
sw1（config）#interface fa 0/10
SW1（config-if）#ip access-group permit-list in
SW1（config-if）#ip access-group re-acl-list out
②需求2，要限制192.168.10.0網(wǎng)段主機(jī)只能在周六和周日的早8點(diǎn)和晚10點(diǎn)使用http服務(wù)，需要利用帶時(shí)間范圍的ACL來設(shè)置。要求192.168.10.0網(wǎng)段主機(jī)從Cernet網(wǎng)絡(luò)連入Internet。
基于時(shí)間的ACL
SW1（config）#interface fa 0/11
SW1（config）#ip access-group 101 in
SW1（config）#time-range http
SW1（config）#periodic saturday 8：00 to Sunday 22：00
SW1（config）#ip access-list 101 permit tcp any any eq 80 http
策略路由實(shí)現(xiàn)學(xué)生組網(wǎng)段從Cernet網(wǎng)絡(luò)連入Internet
R1（config）#access-list 1 permit ip 192.168.10.0 0.0.0.255
R1（config）#route-map access permit 10
R1（config-route-map）#match ip address 1
R1（config-route-map）#set ip default next-hop 210.29.15.1
R1（config-route-map）#route-map access permit 30
R1（config-route-map）#set default interface null0
R1（config）#interface fa 0/0
R1（config-if）#ip policy route-map access
4 結(jié)束語
本文中主要介紹了ACL訪問控制列表的技術(shù)原理，并且結(jié)合具體的網(wǎng)絡(luò)拓?fù)鋵?shí)例及網(wǎng)絡(luò)管理需求，介紹了基于時(shí)間的ACL和自反ACL結(jié)合控制的具體實(shí)例，并且利用和ACL相似的策略路由技術(shù)來優(yōu)化了網(wǎng)絡(luò)出口流量控制。由于ACL的策略性強(qiáng)，維護(hù)工作較為繁瑣，對(duì)網(wǎng)絡(luò)管理人員的技術(shù)素質(zhì)要求高。因此在具體的網(wǎng)絡(luò)安全管理與維護(hù)中，如何使ACL技術(shù)發(fā)揮最佳的作用，以實(shí)現(xiàn)管理效益與網(wǎng)絡(luò)安全之間的平衡仍然是一個(gè)需要值得探討的問題。