王偉

關(guān)鍵詞：訪問控制列表；網(wǎng)絡(luò)實(shí)驗(yàn)室；安全性；網(wǎng)絡(luò)管理

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）10-0090-03

隨著社會(huì)發(fā)展，企業(yè)對(duì)高技能人才培養(yǎng)的廣泛需求日趨顯現(xiàn)，計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室對(duì)全校學(xué)生開放程度也逐漸頻繁，隨之出現(xiàn)的便是網(wǎng)絡(luò)管理問題，不同的課程對(duì)網(wǎng)絡(luò)的環(huán)境要求不一樣，需對(duì)網(wǎng)絡(luò)的流量或時(shí)段加以控制。為使得網(wǎng)絡(luò)實(shí)訓(xùn)室高效利用，為教學(xué)提供一個(gè)良好的實(shí)驗(yàn)環(huán)境，需要網(wǎng)絡(luò)上配置相關(guān)的訪問控制策略，以達(dá)到計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室的安全高效利用。

1 ACL 的概念

ACL全稱為訪問控制列表（Access Control List），使用包過濾技術(shù)，在網(wǎng)絡(luò)協(xié)議包頭中根據(jù)源地址、目的地址、協(xié)議口、端口號(hào)等信息，根據(jù)預(yù)先定義好的rule對(duì)包進(jìn)行過濾，從而達(dá)到對(duì)網(wǎng)絡(luò)流量控制的目的。ACL可以根據(jù)TCPUDP協(xié)議報(bào)頭部分字段精確控制數(shù)據(jù)流量，還可以外加時(shí)間并可依據(jù)協(xié)議類型信息精確控制網(wǎng)絡(luò)行為[1]。

到達(dá)訪問控制接口的所有數(shù)據(jù)包都會(huì)自動(dòng)匹配ACL中的若干準(zhǔn)則，如第一條規(guī)則拒絕的話直接丟棄數(shù)據(jù)包，若允許的話則會(huì)通過控制接口前往目的接口；如第一條規(guī)則沒有匹配到的話，則會(huì)繼續(xù)匹配下一條直到匹配上為止，如到最末條還沒匹配上，則會(huì)自動(dòng)匹配ACL隱含語句直接拒絕丟棄數(shù)據(jù)包。

對(duì)于網(wǎng)絡(luò)設(shè)備來講，入棧接口接收到數(shù)據(jù)包后則會(huì)檢查入棧處有無ACL規(guī)則，如無則把數(shù)據(jù)包直接交給路由表進(jìn)行后續(xù)處理，如有則檢查ACL規(guī)則，檢查規(guī)則按照數(shù)據(jù)包的檢查過程進(jìn)行。數(shù)據(jù)包到達(dá)出棧接口時(shí)同樣也要檢查出口處是否有ACL規(guī)則，如無則直接轉(zhuǎn)發(fā)出數(shù)據(jù)，如有還是按照數(shù)據(jù)包的檢查過程進(jìn)行匹配。

2 ACL 在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室中的作用

1）抓取實(shí)驗(yàn)室內(nèi)的所有需要的流量，精準(zhǔn)控制實(shí)訓(xùn)室內(nèi)的網(wǎng)絡(luò)流量以及上網(wǎng)行為，必須對(duì)實(shí)驗(yàn)室內(nèi)產(chǎn)生的流量進(jìn)行抓取。

TCP/IP分層模型分為網(wǎng)絡(luò)接口層、網(wǎng)際層、傳輸層和應(yīng)用層，應(yīng)用層產(chǎn)生的數(shù)據(jù)經(jīng)過封裝到傳輸層進(jìn)行傳輸，建立端到端的連接，端到端之間的連接主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議中，有兩種對(duì)應(yīng)的傳輸協(xié)議：TCP（傳輸控制協(xié)議）和UDP（用戶數(shù)據(jù)報(bào)協(xié)議）。TCP為兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送后確認(rèn)分組的超時(shí)時(shí)鐘等。由于運(yùn)輸層提供了高可靠性的端到端的通信，因此應(yīng)用層可以忽略所有這些細(xì)節(jié)。另外，UDP則為應(yīng)用層提供一種非常簡(jiǎn)單的服務(wù)。它只是把稱作數(shù)據(jù)報(bào)的分組從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)，但并不保證該數(shù)據(jù)報(bào)能到達(dá)另一端。任何必需的可靠性必須由應(yīng)用層來提供。這兩種運(yùn)輸層協(xié)議分別在不同的應(yīng)用程序中有不同的用途。

TCP應(yīng)用場(chǎng)景主要為對(duì)網(wǎng)絡(luò)通信質(zhì)量有要求的時(shí)候，比如整個(gè)數(shù)據(jù)要準(zhǔn)確無誤地傳遞給對(duì)方，這往往用于一些要求可靠的應(yīng)用，如HTTP、HTTPS、FTP等傳輸文件的協(xié)議。UDP應(yīng)用場(chǎng)景主要為對(duì)效率要求相對(duì)較高、對(duì)準(zhǔn)確性要求相對(duì)較低的場(chǎng)景，比如即時(shí)通信；速度要求高，但是出現(xiàn)偶爾斷續(xù)不是太大問題，如網(wǎng)絡(luò)電話、廣播通信等。

不管是TCP還是UDP，每種服務(wù)背后都會(huì)對(duì)應(yīng)到傳輸層的一個(gè)具體端口上去，端口是保持主機(jī)端到端傳輸?shù)倪B接，ACL抓取流量主要是抓取端口號(hào)有效分析哪些是正常學(xué)習(xí)的流量，哪些是網(wǎng)絡(luò)游戲的流量，哪些是娛樂的流量。

2）影響網(wǎng)絡(luò)訪問質(zhì)量的因素有很多，比如在單位時(shí)間內(nèi)能傳輸?shù)臄?shù)據(jù)量、一個(gè)報(bào)文從一個(gè)網(wǎng)絡(luò)的一端傳送到另一端所需要的時(shí)間、一個(gè)數(shù)據(jù)位從發(fā)送方到達(dá)接收方所需要的時(shí)間等。實(shí)時(shí)應(yīng)用通信質(zhì)量都比較關(guān)注時(shí)延大小，如語音、視頻等。以語音傳輸為例，時(shí)延是指從說話者開始說話到對(duì)方聽到所說內(nèi)容的時(shí)間。若時(shí)延太大，會(huì)引起通話聲音不清晰、不連貫或破碎。服務(wù)質(zhì)量QoS（Quality of Service）用于評(píng)估服務(wù)方滿足客戶服務(wù)需求的能力。通過配置QoS，對(duì)企業(yè)的網(wǎng)絡(luò)流量進(jìn)行調(diào)控，避免并管理網(wǎng)絡(luò)擁塞，減少報(bào)文的丟失率，同時(shí)也可以為企業(yè)用戶提供專用帶寬或者為不同的業(yè)務(wù)（語音、視頻、數(shù)據(jù)等）提供差分服務(wù)[2]。

ACL對(duì)上述通信延時(shí)、帶寬要求比較高的流量做標(biāo)記，某些流量占用的帶寬非常大，如果不加以控制會(huì)導(dǎo)致整個(gè)實(shí)驗(yàn)室網(wǎng)絡(luò)中斷，或者會(huì)導(dǎo)致流量不平滑，突發(fā)丟棄的包特別多，為了避免這種情況發(fā)生，需要對(duì)抓取的大額流量進(jìn)行QOS服務(wù)質(zhì)量，QOS之前必須要對(duì)所有抓取的流量進(jìn)行TAG標(biāo)記。

3）控制網(wǎng)絡(luò)行為，可以控制學(xué)生可以訪問的資源和不可以訪問的資源，能用的軟件和不能使用的軟件。上網(wǎng)行為管理包括：內(nèi)網(wǎng)上網(wǎng)監(jiān)控管理進(jìn)行網(wǎng)頁瀏覽記錄、論壇發(fā)帖記錄、郵件記錄、文件上傳記錄、聊天監(jiān)視（含微信、QQ、釘釘?shù)龋?、聊天工具文件監(jiān)視、聊天工具圖片監(jiān)視、報(bào)警日志。針對(duì)某些應(yīng)用服務(wù)是違反工作學(xué)習(xí)規(guī)定的采取ACL匹配端口服務(wù)阻塞此類流量。

4）對(duì)病毒的防護(hù)。在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室中，學(xué)生會(huì)大量使用移動(dòng)磁盤或者網(wǎng)絡(luò)下載很多學(xué)習(xí)工具，從而導(dǎo)致病毒入侵風(fēng)險(xiǎn)增大。對(duì)于病毒而言，它也是一種應(yīng)用服務(wù)，只不過是一種特殊的應(yīng)用服務(wù)，更是一種特殊的具有破壞性的程序，既然是服務(wù)就會(huì)建立端到端的連接，就會(huì)使用TCP或UDP的端口號(hào)。ACL可以精準(zhǔn)匹配傳輸層的端口號(hào)，從而隔斷病毒破壞的服務(wù)功能[3]。

3 網(wǎng)絡(luò)實(shí)驗(yàn)室流量分析

病毒流量是實(shí)訓(xùn)室主要的占寬流量，網(wǎng)絡(luò)實(shí)訓(xùn)室常見病毒有帕蟲、灰鴿子、網(wǎng)絡(luò)游戲木馬、震蕩波等，病毒程序攻擊電腦需要建設(shè)相應(yīng)連接，這種連接通過端口號(hào)進(jìn)行，端口是我們?cè)L問主機(jī)的某一進(jìn)程標(biāo)識(shí)號(hào)，它工作在網(wǎng)絡(luò)第四層，在IP地址尋址之后每個(gè)應(yīng)用服務(wù)都會(huì)對(duì)應(yīng)到不同的端口號(hào)，不同的端口號(hào)標(biāo)識(shí)了不同的應(yīng)用服務(wù)進(jìn)程，因此端口號(hào)成為了病毒的營(yíng)養(yǎng)根基。阻塞服務(wù)進(jìn)程對(duì)應(yīng)的端口號(hào)則可以阻塞端口對(duì)應(yīng)的相關(guān)服務(wù)，常見的病毒端口號(hào)有5800、5900、445、6667、5554等。

實(shí)訓(xùn)室除了病毒流量外還存在大量游戲聊天工具流量，這些流量占用了大量的帶寬資源，所占比例大約為60%，從而導(dǎo)致正常的實(shí)驗(yàn)流量得不到質(zhì)量保證，同時(shí)也不能發(fā)揮實(shí)訓(xùn)室的最大效能。實(shí)訓(xùn)室第三大流量就是音視頻流量。目前視頻工具大都采用了P2P形式，P2P工作原理是一臺(tái)PC在網(wǎng)絡(luò)下載資源時(shí)也是一臺(tái)共享的資源服務(wù)器，當(dāng)這臺(tái)PC在下載A數(shù)據(jù)時(shí)也在共享著已經(jīng)下載好的A數(shù)據(jù)，也就是邊下載邊共享，當(dāng)網(wǎng)絡(luò)上另一臺(tái)PC也在下載同樣的A數(shù)據(jù)時(shí)，除了訪問本身的數(shù)據(jù)共享服務(wù)器外還會(huì)從這臺(tái)PC上下載A數(shù)據(jù)，如果網(wǎng)絡(luò)上有很多的終端節(jié)點(diǎn)在下載數(shù)據(jù)，那么這個(gè)流量大小可想而知。P2P過大的流量會(huì)增加數(shù)據(jù)包穿越網(wǎng)絡(luò)所用時(shí)間，從而導(dǎo)致數(shù)據(jù)包穿越網(wǎng)絡(luò)時(shí)所用時(shí)間忽高忽低，部分?jǐn)?shù)據(jù)包可能丟失，引起網(wǎng)絡(luò)的延遲、抖動(dòng)、丟包率高，從而影響網(wǎng)絡(luò)的QOS質(zhì)量。雖然P2P的流量使得網(wǎng)絡(luò)訪問速度很快，但是這種流量占用帶寬，而且是搶占式的占用，在實(shí)訓(xùn)室?guī)捹Y源不是很寬裕的情況下很容易導(dǎo)致網(wǎng)絡(luò)資源崩潰[4]。

4 ACL 的相關(guān)技術(shù)

ACL技術(shù)分為三種：標(biāo)準(zhǔn)的訪問控制列表、擴(kuò)展的訪問控制列表和命名的訪問控制列表。ACL編號(hào)1-99為標(biāo)準(zhǔn)訪問列表，只能控制源地址，無法控制目標(biāo)地址、端口或協(xié)議，編號(hào)100以上為擴(kuò)展訪問控制列表，除了能夠精準(zhǔn)控制源地址外還能夠根據(jù)源地址、目標(biāo)地址、端口號(hào)、協(xié)議等要素進(jìn)行流量詳細(xì)控制。但是值得注意的是，ACL語句隱藏著一條拒絕所有流量的規(guī)則[5]。

ACL可以外掛時(shí)間要素，根據(jù)不同的時(shí)間節(jié)點(diǎn)配置不同的網(wǎng)絡(luò)訪問行為，提供基于時(shí)間的附加控制特性，定義在什么時(shí)間允許或拒絕數(shù)據(jù)包。通過基于時(shí)間的定時(shí)ACL可以很方便地限制哪些用戶的哪些數(shù)據(jù)包在規(guī)定的時(shí)間內(nèi)是轉(zhuǎn)發(fā)還是丟棄行為。

5 流量控制策略

5.1 限制實(shí)驗(yàn)室聊天工具以及P2P應(yīng)用軟件

實(shí)驗(yàn)室不允許使用QQ聊天等應(yīng)用軟件，同時(shí)為了保障實(shí)驗(yàn)室網(wǎng)絡(luò)帶寬正常和網(wǎng)絡(luò)流量平滑，防止網(wǎng)絡(luò)出現(xiàn)較大延遲、抖動(dòng)、丟包現(xiàn)象發(fā)生，需要對(duì)P2P等網(wǎng)絡(luò)應(yīng)用工具進(jìn)行網(wǎng)絡(luò)行為管控限制。針對(duì)此問題，在網(wǎng)絡(luò)設(shè)備上配置訪問控制列表即可控制實(shí)驗(yàn)室所有機(jī)器的網(wǎng)絡(luò)訪問行為。常見的聊天應(yīng)用服務(wù)有騰訊聊天工具，采用了UDP 協(xié)議，端口號(hào)為8000 和8001；雅虎聊天工具采用了TCP協(xié)議，端口號(hào)為5050、電驢P2P采用了TCP協(xié)議，端口號(hào)對(duì)應(yīng)為4242。

首先針對(duì)網(wǎng)絡(luò)實(shí)驗(yàn)室的流量進(jìn)行ACL語句規(guī)則定義，具體如下：

access-list 100 deny udp any any eq 8000

access-list 100 deny udp any any eq 8001

access-list 100 deny tcp any any eq 5050

access-list 100 deny tcp any any eq 4242

permit ip any any 其次將定義好的訪問控制列表規(guī)則應(yīng)用到接口下

int fa0/0

ip access-group 100 in

5.2 控制實(shí)驗(yàn)室開放時(shí)間

控制實(shí)驗(yàn)室開放時(shí)間是指在規(guī)定的時(shí)間內(nèi)做對(duì)應(yīng)的事情，正常實(shí)訓(xùn)時(shí)間內(nèi)不能聊天、看視頻或者聽音頻等，課間時(shí)間則可以進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)瀏覽。這些要求在定義訪問控制列表規(guī)則的同時(shí)也要外掛時(shí)間要素，針對(duì)特定的時(shí)間定義特定的網(wǎng)絡(luò)行為。

首先要定義時(shí)間要素time-range，設(shè)定好準(zhǔn)確允許訪問實(shí)訓(xùn)室的時(shí)間范圍，規(guī)則如下：

time-range definetime

absolute start 08：00 1 May 2020 end 08：00 1?Dec 2020

其次，通過sniffer研究出實(shí)驗(yàn)室里常用的視頻流量大都為騰訊視頻流量，QQLive 采用TCP 方式通信，TCP 和UDP 默認(rèn)通信端口為8000，根據(jù)上述流量定義對(duì)應(yīng)ACL規(guī)則。

access-list 100 deny tcp any any eq 8000

permit ip any any

最后，當(dāng)time-range設(shè)定好之后需要外掛到擴(kuò)展訪問控制列表上面去，最后在interface接口上應(yīng)用此策略。

access-list 101 permit ip any any time-range de?finetime

ip access-group 101 inbound/outbound

5.3 控制實(shí)驗(yàn)室病毒碼擴(kuò)散

病毒碼的端口號(hào)不是固定不變的，病毒為了達(dá)到持久的攻擊目的，通常會(huì)不定期修改自己的應(yīng)用端口號(hào)，因此訪問控制列表需要根據(jù)病毒的端口變化情況采取適時(shí)的阻斷措施。除此之外，盡量把網(wǎng)絡(luò)不常用的服務(wù)端口全部關(guān)閉，這樣，病毒無論怎么變異，沒有了端口號(hào)就無法發(fā)揮作用。阻斷病毒碼的規(guī)則如下：

rule 0 deny tcp source-port eq 5800

rule 1 deny tcp source-port eq 5900

rule 2 deny tcp source-port eq 445

rule 3 deny tcp source-port eq 6667

rule 4 deny tcp source-port eq 5554

6 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)之前，實(shí)訓(xùn)室病毒防護(hù)主要依靠殺毒軟件，效果不明顯，部分學(xué)生集訓(xùn)期間玩網(wǎng)游看視頻現(xiàn)象比較突出，P2P下載資源呈現(xiàn)明顯，帶寬利用率高，P2P 影響了正常網(wǎng)絡(luò)視頻在線學(xué)習(xí)，卡頓現(xiàn)象非常明顯，只能靠人為管理此現(xiàn)象，網(wǎng)絡(luò)流量呈現(xiàn)不平滑態(tài)勢(shì)，網(wǎng)絡(luò)服務(wù)質(zhì)量不高。實(shí)驗(yàn)之后，大部分病毒明顯失效，網(wǎng)絡(luò)游戲聊天工具在規(guī)定時(shí)間內(nèi)已經(jīng)無法打開，無大流量的音視頻流量，整個(gè)實(shí)訓(xùn)室網(wǎng)絡(luò)流向呈現(xiàn)平滑態(tài)勢(shì)，網(wǎng)絡(luò)服務(wù)質(zhì)量得到明顯提升。