汪海濤 王磊 戴宏明

摘 ?要：在計算機網(wǎng)絡(luò)中，服務(wù)器對不同的客戶端提供不同時間規(guī)定的訪問服務(wù)，其他時間禁止客戶端訪問，進行服務(wù)器數(shù)據(jù)自動備份，提高了服務(wù)器的安全性和穩(wěn)定性。針對該需求，可以在連接服務(wù)器的三層設(shè)備上啟用時間訪問控制列表，定義好服務(wù)器允許訪問的時間規(guī)則，將該規(guī)則應(yīng)用到擴展訪問控制列表，并把列表綁定到相應(yīng)的端口。針對某一局域網(wǎng)網(wǎng)絡(luò)連接Internet結(jié)構(gòu)，論述時間訪問控制列表技術(shù)，分析時間訪問控制列表的特點和應(yīng)用方法，最終實現(xiàn)服務(wù)器在時間策略上的安全訪問。

關(guān)鍵詞：時間訪問控制列表;服務(wù)器;網(wǎng)絡(luò);安全

中圖分類號：TP393 ? ? 文獻標識碼：A

Abstract： In computer network， server provides different clients with access services specified at different times. Clients are prohibited from accessing at other times when server automatically backs up data to improve its security and stability. To meet this need， time Access Control List （ACL） is enabled on the three-tier device connected to the server and the defined time rule for accessing server is applied to the extended access control list which is bound to the corresponding port. This paper discusses the technology of time Access Control List， analyzes characteristics and application methods of the time Access Control List， and finally realizes secure server access in the time strategy for Internet structure of a certain LAN （Local Area Network） network connection.

Keywords： time Access Control List; server; network; security

1 ? 引言（Introduction）

Internet和Intranet系統(tǒng)中，某些特定的服務(wù)器對客戶端僅提供特定時間的訪問服務(wù)，其他時間禁止客戶端的訪問，這樣可以有效地提高服務(wù)器的安全性。通常在計算機網(wǎng)絡(luò)服務(wù)器連接的三層設(shè)備（例如三層交換機或路由器）上啟用時間ACL，定義好服務(wù)器允許訪問的時間規(guī)則，將該規(guī)則應(yīng)用到擴展訪問控制列表中，最后啟用三層設(shè)備的防火墻功能，把擴展控制列表的列表號綁定到通往服務(wù)器的相應(yīng)端口上[1]。這樣，計算機網(wǎng)絡(luò)中的客戶端訪問服務(wù)器的時候，數(shù)據(jù)包經(jīng)過該三層設(shè)備的相應(yīng)端口，防火墻就對比訪問的時間是否滿足定義的時間規(guī)則，如果滿足就允許訪問服務(wù)器，否則就拒絕訪問服務(wù)器[2]。

2 ?時間訪問控制列表的概念（The concept of time Access Control List）

我們首先來了解ACL的概念：ACL（Access Control List）即訪問控制列表;然后來了解時間ACL的概念：時間ACL根據(jù)制定的時間規(guī)則執(zhí)行訪問控制。計算機網(wǎng)絡(luò)管理者使用時間ACL，首先創(chuàng)建一個時間范圍，指定服務(wù)器被允許訪問的時段，或者是數(shù)據(jù)包被允許通過的時段[3];然后命名該時間范圍，并將該名稱應(yīng)用在對應(yīng)的擴展訪問控制列表中。

時間ACL相對標準ACL和擴展ACL具有很多優(yōu)點：

（l）數(shù)據(jù)包時間訪問設(shè)定為網(wǎng)絡(luò)管理者提供了較好的控制權(quán)[4]。

（2）網(wǎng)絡(luò)管理者能夠較好地掌握日志消息。

3 ?時間訪問控制列表定義時間的方法（The method of defining time in time access control list）

時間訪問控制列表定義時間的方法有以下兩種：

（l）相對時間范圍

相對時間范圍是按照星期來定義時間規(guī)則的，命令格式為：

time-range time-name start-time to end-time days

time-range是命令關(guān)鍵詞，后面的參數(shù)含義解釋如下：

time-name：時間范圍名，通常是英文字母和數(shù)字組合的字符串。

start-time to end-time：開始時間和結(jié)束時間，其格式是[小時：分鐘] to [小時：分鐘]。

days：表示一個星期的某一天或者是某幾天，也可以是工作日（周一到周五）或者是非工作日（周六到周日）。從周一到周日對應(yīng)的關(guān)鍵字分別是Mon、Tue、Wed、Thu、Fri、Sat、Sun。days可以用周一到周日的這些關(guān)鍵字中的一個或者幾個的組合來表達。為了方便，有的路由器、三層交換機也用數(shù)字代表，0表示星期日，1表示星期一，……6表示星期六。用其中一個數(shù)字或者幾個數(shù)字組合代表相應(yīng)的星期幾。其他的特殊關(guān)鍵字有：working-day代表工作日，即周一到周五;Daily代表一周七天，每一天;off-day代表周六和周日周末兩天[5]。

例如，現(xiàn)在制定一個時間規(guī)則，要求從每周四下午3點到每周五上午10點客戶端可以訪問服務(wù)器，其他時間不可以訪問，可以這樣配置時間范圍：

time-range aaa 15：00 to 00：00 Thu

time-range aaa 00：00 to 10：00 Fri

（2）絕對時間范圍

絕對時間范圍是按年月日具體的某一天來定義的[6]，其命令格式如下：

time-range time-name from time1 date1 [to time2 date2]

time-range是命令關(guān)鍵詞，其他參數(shù)含義和上一段參數(shù)含義類似，下面舉例說明。例如，現(xiàn)在制定一個時間規(guī)則，要求從2021年2月1日早上9點半開始生效，2021年2月12日晚上8點停止生效，這一時間范圍客戶端可以訪問服務(wù)器[7]，其他時間不可以訪問，可以這樣配置：

time-range bbb from 09：30 2021/2/1 to 20：00 2021/2/12

4 ?時間訪問控制列表方案規(guī)劃和實現(xiàn) （Planning and implementation of time access control list scheme）

4.1 ? 方案建設(shè)原則和目標

項目方案采用時間ACL應(yīng)用在相應(yīng)擴展控制列表技術(shù)中。項目拓撲結(jié)構(gòu)中的內(nèi)網(wǎng)有一臺Web服務(wù)器對內(nèi)網(wǎng)用戶和Internet中的所有客戶端提供網(wǎng)頁瀏覽服務(wù)。Web服務(wù)器對內(nèi)網(wǎng)用戶提供訪問服務(wù)的時間是周一到周日的8：00到20：00，對Internet用戶提供訪問服務(wù)的時間是周一到周五的9：00到18：00，其他時間為服務(wù)器的數(shù)據(jù)備份時間[8]。

4.2 ? 方案的總體規(guī)劃

系統(tǒng)方案結(jié)構(gòu)為企業(yè)內(nèi)部網(wǎng)接入Internet，RouterA是內(nèi)網(wǎng)的出口路由器，RouterB、RouterC為Internet的兩臺路由器，SwitchA為內(nèi)網(wǎng)的核心交換機（三層交換機）。Web服務(wù)器和核心交換機相連，PC0為Internet的客戶端和RouterC相連，PC1、PC2是內(nèi)網(wǎng)的客戶端。PC1是vlan10的客戶端，PC2是vlan20的客戶端，PC1、PC2和二層交換機相連。整個系統(tǒng)的拓撲圖如圖1所示。

4.3 ? 方案的實現(xiàn)

4.3.1 ? 整個網(wǎng)絡(luò)系統(tǒng)連通的配置

首先，配置好網(wǎng)絡(luò)拓撲系統(tǒng)的IP地址、PC客戶端和Web服務(wù)器的IP地址和默認網(wǎng)關(guān);配置好路由協(xié)議和出口路由器的NAT;配置Web服務(wù)器的靜態(tài)NAT映射一個對外IP地址，讓內(nèi)網(wǎng)可以訪問外網(wǎng)，外網(wǎng)的客戶端通過靜態(tài)NAT映射的對外IP地址可以訪問Web服務(wù)器。

網(wǎng)絡(luò)系統(tǒng)連通性配置如以下代碼所示：

RouterA（config）#router rip

RouterA（config-router）#version 2

RouterA（config-router）#no auto

RouterA（config-router）#network 192.168.1.0

RouterA（config-router）#default information-ori

RouterA（config）#ip route 0.0.0.0 ?0.0.0.0 ?s1/0

SwitchA（config）#ip routing

SwitchA（config）#router rip

SwitchA（config-router）#version 2

SwitchA（config-router）#no auto

SwitchA（config-router）#network 192.168.1.0

SwitchA（config-router）#network 192.168.2.0

SwitchA（config-router）#network 192.168.10.0

SwitchA（config-router）#network 192.168.20.0

RouterB和RouterC是Internet路由器，配置OSPF協(xié)議。

內(nèi)網(wǎng)配置RIP協(xié)議，Internet網(wǎng)絡(luò)配置OSPF協(xié)議，出口路由器連接內(nèi)網(wǎng)的接口配置RIP協(xié)議，連接Internet的接口配置默認路由指向外網(wǎng)，并將默認路由注入內(nèi)網(wǎng)RIP協(xié)議中。

然后，在出口路由器上配置基于端口的NAT轉(zhuǎn)換，讓內(nèi)網(wǎng)用戶可以出去訪問Internet。配置靜態(tài)NAT轉(zhuǎn)換，給Web服務(wù)器設(shè)置一對一的地址映射，提供對外網(wǎng)用戶的訪問服務(wù)。具體配置如以下代碼所示：

RouterA（config）#access-list 1 permit 192.168.0.0 0.0.255.255

RouterA（config）#ip nat pool aaa 201.1.1.3 201.1.1.10 netmask 255.255.255.0

RouterA（config）#ip nat inside source list 1 pool aaa overload

RouterA（config）#ip nat inside source static 192.168.2.1 201.1.1.11

4.3.2 ? 配置時間訪問控制列表規(guī)則

在核心交換機上配置時間訪問控制列表的規(guī)則。因為Web服務(wù)器和核心交換機相連，啟用核心交換機的包過濾防火墻功能，定義好兩個時間訪問控制列表規(guī)則，一個規(guī)則定義內(nèi)網(wǎng)用戶訪問服務(wù)的時間是周一到周日的8：00到20：00，另外一個規(guī)則定義Internet用戶訪問服務(wù)的時間是周一到周五的9：00到18：00。具體配置如以下代碼所示：

SwitchA（config）#time-range aaa 8：00 to 20：00 Daily

SwitchA（config）#time-range bbb 9：00 to 18：00 Working-day

4.3.3 ? 定義擴展訪問控制列表并應(yīng)用時間訪問控制列表

在核心交換機上配置擴展訪問控制列表，并將上面定義的時間訪問控制列表應(yīng)用到相應(yīng)的擴展列表，具體配置如以下代碼所示：

SwitchA（config）#access-list 100 permit tcp 192.168.10.0

0.0.0.255 host 192.168.2.1 eq www time-range aaa

SwitchA（config）#access-list 100 permit tcp any host

192.168.2.1 eq www time-range bbb

核心交換機的系統(tǒng)時間也要和當前的時間相對應(yīng)，在核心交換機的特權(quán)模式下使用show clock命令先查看一下交換機的系統(tǒng)時間，如果不對，需要使用clock set命令重新進行設(shè)置，如以下代碼所示：

SwitchA#show clock

0：4：25.359 UTC Mon Mar 1 1993

SwitchA#show clock

10：24：35.897 UTC Sun Feb 28 2021

由以上代碼可以看到，第一次使用show clock命令查看核心交換機的系統(tǒng)時間是1993年，后來通過設(shè)置，再查詢交換機的系統(tǒng)時間就和當前時間一致了。

4.3.4 ? 將擴展列表綁定到端口

因為Web服務(wù)器和核心交換機相連，所以保護Web服務(wù)器的職責交給核心交換機，將擴展訪問控制列表綁定到核心交換機的相應(yīng)端口，數(shù)據(jù)包通過該接口的時候就進行訪問控制列表規(guī)則檢查[9]。對Web服務(wù)器訪問的需求是，Web服務(wù)器對內(nèi)網(wǎng)用戶提供訪問服務(wù)的時間是周一到周日的8：00到20：00，對Internet用戶提供訪問服務(wù)的時間是周一到周五的9：00到18：00，其他時間為服務(wù)器的數(shù)據(jù)備份時間。所以列表100綁定在核心交換機的F0/1，列表101綁定在核心交換機的F0/2，綁定方向都是in，如以下代碼所示：

SwitchA（config）#int f0/1

SwitchA（config-if）#ip access-group 100 in

SwitchA（config）#int f0/2

SwitchA（config-if）#ip access-group 101 in

4.3.5 ? 系統(tǒng)測試結(jié)果

最后，測試Web服務(wù)器被客戶端訪問情況，查看內(nèi)網(wǎng)用戶是否在規(guī)定的時間可以訪問服務(wù)器，非規(guī)定時間不能訪問服務(wù)器;查看Internet用戶是否在規(guī)定的時間可以訪問服務(wù)器，非規(guī)定時間不能訪問服務(wù)器，如圖2所示。

設(shè)定當前時間為周日10：42：20，查看內(nèi)網(wǎng)用戶和Internet用戶分別訪問Web服務(wù)器得到的響應(yīng)情況。

查看Internet用戶PC0訪問情況，PC0根據(jù)Web服務(wù)器對外映射地址201.1.1.11訪問，如圖3所示。

5 ? 結(jié)論（Conclusion）

本文主要論述了時間訪問控制列表的定義規(guī)則和應(yīng)用方法，并設(shè)定了一個系統(tǒng)實現(xiàn)不同用戶對Web服務(wù)器訪問的時間規(guī)定。系統(tǒng)集成了核心交換機包過濾防火墻技術(shù)、時間訪問控制列表技術(shù)、擴展訪問控制列表技術(shù)。最后，系統(tǒng)成功

地實現(xiàn)Web服務(wù)器對內(nèi)網(wǎng)用戶提供訪問服務(wù)的時間是周一到周日的8：00到20：00，對Internet用戶提供訪問服務(wù)的時間是周一到周五的9：00到18：00。

參考文獻（References）

[1] 單慶元，閻丕濤，南峰.交換機ACL在WWW服務(wù)器安全防護中的應(yīng)用[J].計算機系統(tǒng)應(yīng)用，2019（12）：212-218.

[2] 高強，權(quán)循忠，葛先雷.基于時間的ACL在企業(yè)網(wǎng)絡(luò)中的實際應(yīng)用[J].長春師范大學(xué)學(xué)報，2019（06）：61-66.

[3] 龐鐳.訪問控制列表在校園網(wǎng)安全防護中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（10）：97-99.

[4] 孫光懿.基于訪問控制列表技術(shù)的仿真實驗設(shè)計[J].伊犁師范學(xué)院學(xué)報（自然科學(xué)版），2018（03）：53-58.

[5] 李勇，楊華芬.訪問控制列表在模擬器中的實驗仿真與分? ? ? 析[J].實驗室研究與探索，2018（12）：137-140.

[6] 孔巋然.基于時間的多層防火墻訪問控制列表策略審計方? ? ? 案[J].計算機應(yīng)用，2017（01）：212-216.

[7] 胡國強，蔚繼承.ACL數(shù)據(jù)包過濾實驗在仿真器中的設(shè)計與實現(xiàn)[J].實驗室技術(shù)與管理，2017（11）：141-144.

[8] 高靜，聶利穎，郭峰.擴展IP訪問列表的訪問控制在模擬器CiscoPacketTracer中的仿真設(shè)計與實現(xiàn)[J].智能計算機與應(yīng)用，2016（02）：82-84.

[9] RAMPRASATH J， SEETHALAKSHMI V. Secure access of resource in software-defined networks using dynamic access control[J]. International Journal of Communication System， 2020（34）：112-115.

作者簡介：

汪海濤（1978-），男，碩士，副教授.研究領(lǐng)域：計算機網(wǎng)絡(luò)工程，SDN和大數(shù)據(jù).

王 ?磊（1981-），男，博士，副教授.研究領(lǐng)域：軟件技術(shù)，Web開發(fā)和大數(shù)據(jù).本文通訊作者.

戴宏明（1978-），男，博士，副教授.研究領(lǐng)域：軟件開發(fā)和大數(shù)據(jù)技術(shù).