摘要：隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)給人們的學(xué)習(xí)和生活帶來(lái)了極大的便利，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越引起人們的重視。校園網(wǎng)的安全是一個(gè)系統(tǒng)工程，防范不僅是被動(dòng)的，更要是主動(dòng)進(jìn)行。該文基于ACL為主，建立ACL控制列表保障學(xué)生機(jī)房的安全運(yùn)行，使校園網(wǎng)運(yùn)作在一個(gè)安全穩(wěn)定的環(huán)境下。

關(guān)鍵詞：ACL；學(xué)生機(jī)房；訪問(wèn)控制列表

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）25-5859-02

現(xiàn)在每個(gè)學(xué)校都有自己的校園網(wǎng)，網(wǎng)絡(luò)安全是十分重要的問(wèn)題，既要防止未經(jīng)授權(quán)的非法數(shù)據(jù)從外部侵入內(nèi)部網(wǎng)絡(luò)，也要防止內(nèi)部各主機(jī)之間的相互攻擊。隨著校園網(wǎng)絡(luò)的擴(kuò)大，一些問(wèn)題也隨之而來(lái)，比如學(xué)校機(jī)房游戲和病毒泛濫、服務(wù)器受到攻擊、網(wǎng)絡(luò)擁堵，解決這些問(wèn)題的方法就是建立一些訪問(wèn)規(guī)則，允許訪問(wèn)的可以訪問(wèn)，不許訪問(wèn)的無(wú)權(quán)訪問(wèn)，訪問(wèn)控制列表ACL可以很好的解決這些問(wèn)題。

1 訪問(wèn)控制列表ACL

1.1 ACL介紹

ACL是將一些訪問(wèn)規(guī)則應(yīng)用于路由器、三層交換機(jī)或者防火墻接口上，使合法的數(shù)據(jù)包得以通過(guò)，非法的數(shù)據(jù)包被拒絕，從而達(dá)到對(duì)訪問(wèn)的控制，保障網(wǎng)絡(luò)安全。

1.2 ACL的分類(lèi)

1）標(biāo)準(zhǔn)訪問(wèn)列表ACL

標(biāo)準(zhǔn)的ACL只能根據(jù)源IP地址進(jìn)行分類(lèi)，使用 1-99 以及1300-1999之間的數(shù)字作為表號(hào)，H3C標(biāo)準(zhǔn)訪問(wèn)列表格式如下：

acl ACL號(hào)

rule permit|deny source IP地址 反向子網(wǎng)掩碼

2） 擴(kuò)展訪問(wèn)列表

可以根據(jù)源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)，協(xié)議來(lái)進(jìn)行分類(lèi)，擴(kuò)展的ACL使用 100-199以及2000-2699之間的數(shù)字作為表號(hào)。H3C擴(kuò)展訪問(wèn)列表格式如下：

acl ACL號(hào)

rule permit|deny 協(xié)議 定義過(guò)濾源主機(jī)范圍 定義過(guò)濾源端口 定義過(guò)濾目的主機(jī)訪問(wèn) 定義過(guò)濾目的端口

3） 命名的訪問(wèn)列表

將標(biāo)準(zhǔn)訪問(wèn)列表或擴(kuò)展訪問(wèn)列表取個(gè)名字，可以對(duì)訪問(wèn)列表進(jìn)行增加、刪除操作。格式如下：

acl ACL號(hào) name 名字

1.3 訪問(wèn)列表的定義規(guī)范

1） ACL是按著語(yǔ)句的順序從上向下執(zhí)行的，所以語(yǔ)句的放置順序很重要，一旦找到匹配條件的語(yǔ)句就不再檢查其他的判斷語(yǔ)句了。

2） 在ACL的最后，有一條隱含的“全部拒絕”的命令，所以在 ACL里一定至少有一條“允許”的語(yǔ)句。

3） ACL語(yǔ)句不能被逐條的刪除，只能一次性刪除整個(gè)ACL。

4） 一個(gè)ACL的配置可以定義在進(jìn)口也可以定義在出口方向。

5） 最有限制性的語(yǔ)句應(yīng)該放在ACL語(yǔ)句的首行。

6） 將標(biāo)準(zhǔn)訪問(wèn)列表要盡可能放置在靠近目的地址的地方

7） 將擴(kuò)展訪問(wèn)列表要盡量放置在靠近源地址的地方

2 我校校園網(wǎng)的網(wǎng)絡(luò)設(shè)置

2.1學(xué)生機(jī)房的訪問(wèn)規(guī)則

學(xué)生機(jī)房不允許相互訪問(wèn)，也不能訪問(wèn)教師機(jī)，只能訪問(wèn)Web服務(wù)器，其它的應(yīng)用服務(wù)器都不讓訪問(wèn)，但學(xué)生機(jī)房的備份服務(wù)器可以訪問(wèn)ftp服務(wù)器。

2.2 校園網(wǎng)絡(luò)的拓?fù)鋱D

Web服務(wù)器地址10.60.2.2，F(xiàn)tp服務(wù)器地址10.60.2.3

2.3 三層交換機(jī)S7506E配置

建立一個(gè)擴(kuò)展訪問(wèn)列表名字為jifang，規(guī)則是可以訪問(wèn)10.60.2.2這臺(tái)web服務(wù)器，四臺(tái)機(jī)房的備份電腦可以訪問(wèn)10.60.2.3這臺(tái)ftp服務(wù)器，其它段的機(jī)房、教師電腦及服務(wù)器不允許訪問(wèn)，將設(shè)置好的ACL添加到相應(yīng)的vlan中。

system-view

[S7506E]acl number 2100 name jifang

[S7506E-acl-adv-2100-jifang]rule 0 permit ip destination 10.60.2.2 0

[S7506E-acl-adv-2100-jifang]rule 1 permit ip source 192.168.3.200 0 destination 10.60.2.3 0

[S7506E-acl-adv-2100-jifang]rule 2 permit ip source 192.168.4.200 0 destination 10.60.2.3 0

[S7506E-acl-adv-2100-jifang]rule 3 permit ip source 192.168.5.200 0 destination 10.60.2.3 0

[S7506E-acl-adv-2100-jifang]rule 4 permit ip source 192.168.6.200 0 destination 10.60.2.3 0

[S7506E-acl-adv-2100-jifang]rule 5 deny ip destination 192.168.0.0 0.0.255.255

[S7506E-acl-adv-2100-jifang]rule 6 deny ip destination 10.60.0.0 0.0.255.255

[S7506E-acl-adv-2100-jifang]rule 7 permit ip

[S7506E-acl-adv-2100-jifang]quit

[S7506E]interface Vlan-interface3

[S7506E-Vlan-interface3]packet-filter name jifang inbound

[S7506E-Vlan-interface3]quit

[S7506E]interface Vlan-interface4

[S7506E-Vlan-interface4]packet-filter name jifang inbound

[S7506E-Vlan-interface4]quit

[S7506E]interface Vlan-interface5

[S7506E-Vlan-interface5]packet-filter name jifang inbound

[S7506E-Vlan-interface5]quit

[S7506E]interface Vlan-interface6

[S7506E-Vlan-interface6]packet-filter name jifang inbound

[S7506E-Vlan-interface6]quit

如果web或ftp服務(wù)器沒(méi)有自己?jiǎn)为?dú)的ip地址，也可以單獨(dú)拒絕服務(wù)器的web或ftp服務(wù)

例如拒絕vlan4機(jī)房登錄web服務(wù)和ftp服務(wù)

[S7506E-acl-adv-2100-jifang]rule 0 deny tcp source 192.168.4.0 0.0.0.255 destination 10.60.2.2 0 destination-port eq www

[S7506E-acl-adv-2100-jifang]rule 1 deny tcp source 192.168.4.0 0.0.0.255 destination 10.60.2.3 0 destination-port eq FTP

[S7506E-acl-adv-2100-jifang]rule 2 deny tcp source 192.168.4.0 0.0.0.255 destination 10.60.2.3 0 destination-port eq ftp-date

通過(guò)以上設(shè)置就把學(xué)生機(jī)房隔離開(kāi)了，相互之間不能影響，一個(gè)機(jī)房有病毒或游戲就不會(huì)傳染給其它機(jī)房，而每個(gè)機(jī)房的備份服務(wù)器可以訪問(wèn)ftp服務(wù)器，從而保證上傳或下載一些軟件在機(jī)房里應(yīng)用，而學(xué)生機(jī)房可以正常瀏覽學(xué)校的web網(wǎng)站，這樣就保證了學(xué)生機(jī)房安全獨(dú)立的運(yùn)行，從而保證了學(xué)校網(wǎng)絡(luò)的安全運(yùn)行和正常的教學(xué)秩序。

參考文獻(xiàn)：

[1] 莫林利.使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J].華東交通大學(xué)學(xué)報(bào)，2009（12）.

[2] 蔣理.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)操作教程[M].西安：西安電子科技大學(xué)出版社，2004：317-319.