银少海

（呼和浩特职业学院 内蒙古 010051）

0 引言

计算机网络的飞速发展，在一定程度上也给人们的工作生活等带来了安全隐患，现在社会中，所有网络用户都应该时刻注意网络安全问题，高校也是一样。路由器是连接互联网和局域网的重要设备，但是绝大部分人都只认识到它最基本的功能——路由，不知道它不仅可以是传输数据用的，它还可以通过设置访问控制列表来进行安全的防护工作，这是抵御网络攻击的一个非常重要的控制策略。

1 访问控制列表的作用和分类

首先，访问控制列表的作用可以应用到限制网络流，提高网络性能上。举例来说，网络中的信息是由数据包组成的，访问控制列表就是通过指定数据包来进行优先级划分。其次，访问控制列表可以对通信流进行控制。比如，访问控制列表可以通过对路由信息的长度进行简化或是限定，使想要通过此网络层的通讯流量被限制住。再次，访问控制列表在网络安全访问中也起到了重要的作用，比如，在局域网中，通过访问控制列表来对特定的网络资源进行设置，只允许一台主机或网络能够进行访问，其他主机或网络用户则无权进入访问资源。最后，在所有的信息流量中访问控制列表能够通过网络层设备的端口来进行处理哪些是可以通过的通信流，哪些是被阻挡在外的。比如，用户在访问控制列表中设定了允许E-MALI通信流能够通过路由，而所有的TENLET通信流都被设置为拒绝通过。

访问列表是分为两种的，一种是标准访问列表，另一种是拓展访问列表。其中，标准访问列表的功能是十分有限的，它只允许被过滤源地址。而扩展的访问列表在功能上就比标准访问列表多出好多，不仅能够允许过滤源地址，还能对目的地址和上层应用数据进行相关检测。

Cics路由器在对访问列表上有着领先技术，它是从IOS12.0开始就能根据时间来进行设置访问列表，可以在一天的不同时间段或是一个星期中的不同日期来对网络中的数据包进行控制转发。加入时间的访问列表是在标准访问列表和扩展访问列表的基础上来进行的，是通过有效的时间来对网络控制做到更合理，更有效。拥有时间的访问列表也是需要拥有原先访问列表这一基础的，是需要预先设定的时间范围才能应用起来的。

2 访问控制列表在校园网络安全网中的应用

在网络安全的建设中，网络安全工程师为了确保网络能够在安全的环境下工作，在实际的建设中，是需要根据各单位的网络安全中的具体需求来进行工作的，在相关的设备中建立各种复杂的访问控制列表，并巧妙的将其结合起来使用。在校园网的管理中，网络安全不仅仅是对简单的木马，病毒来进行防护，更多的是要结合高校自身的特点，根据不同的需求来对网络安全进行设置，网络管理员可以通过对校园网的了解及日常工作中遇到的问题在网络设备上设置相应的访问控制列表，这样人为的控制安全策略能够起到一定的约束效果。举例来说：

2.1 限制学生访问的网络资源

在校园网中，需要注意的是学生非法访问网络资源，有些计算机网络技术学的好的学生可能会恶意攻击学校中的网络设备或是服务器等，所以在校园网的安全防护上要设置合理，稳妥的访问控制列表来限制学生所用的网段对校园网的服务器进行访问，如果学生所用的网段为192.168.1.100/22，校园网中其他用户的网段为192.168.0.100/22，那么为了防止学生对校园服务器进行恶意攻击的同时又不妨碍其他用户的正常工作，这就可以在相关的网络设备中设置应用访问控制列表权限。

Router（config）#access-1ist 1 deny 192.168.1.0 0.0.0.255

Router（config）#access-1ist 1 permit any

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 1 in

在高校中，教室和实验室是学生驻留时间最久的地方，是给学生学习和做实验的场所，在休息时间段里，要确保学生能够真正放松去休息，学习时间能够认真学习，拥有良好的自律意识，不去做一些与学习无关的事或是妨碍休息时间的事情，比如通过网络聊天工具进行聊天，玩大型的网络游戏等。这时就需要运用到访问控制列表来对相应的网络设备中进行网络限制。假如能够进行各种网络游戏，视频及聊天的资源都在校园网中网段为192.168.2.0的FTP服务器上，学生所用的网段则是192.168.3.0时，如何采用访问控制列表来限制其进行相关操作就需要通过以下配置来实现：

Router（config）#access-1ist 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww

Router（config）#access-1ist 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp

Router（config）#access-1ist 102 permit ip any any Router（config）#int E1

Router（config）#ip access-group 102 out

2.2 网络管理员需要远程控制

在校园网络的安全管理中，由于校园网的铺盖面积较广，所以在网络管理及设备管理上能达到快捷方便，就需要网络管理员建立一个远程登录平台，通过远程控制的方法对校园里所有的路由器及交换机、防火墙进行安全设置，制订出网络安全策略，并且这个登录平台是其他人员无法登录和访问的，只有特定的网络IP地址才能对其进行访问登录。假设网络所处网段为10.1.100.0，管理网段是10.1.300.0，如何在相关的网络设备中进行访问就需要采用以下访问控制策略，通过运用到相关接口上来允许管理网段对其进行访问。

Router（config）#access-1ist 101

permit ip 10.1.300.0 0.0.0.255 10.1.100.0 0.0.0.255

Router（config）#access-1ist 101 deny ip any 10.1.100.0 0.0.0.255

Router（config）#interface ethernet 0/0

Router（config）#ip access-group 101 in

2.3 学生宿舍限制上网时段

上述中我们到Cics路由器从IOS12.0版本开始就已经可以通过定时来设置访问控制列表，在高校中，学生上网时段是需要进行严格控制的，这就需要通过这一列表来对其进行控制，假如校园网中能允许学生上网的时间是每天的7：00到23：00，那么可以在相关设备上进行如下的配置：

C6509-CENTER（config）# time-range stu_dom

C6509-CENTER（config-time）# periodic dai1y 7：00 to 23：00 //定义时间范围

C6509-CENTER（config）# access-1ist 111 permit ip any any time-range stu_dom

C6509-CENTER（config）# int v1an 50 //

进入 v1an 50C6509-CENTER（config-if）# ip access-group 111 in

3 结束语

在校园网中，网络管理员有效的应用访问控制列表，可以使校园网络的安全性得到很大的提高，但是需要明确一点，就是防火墙的作用也是至关重要的，不能因为设置了访问控制列表就忽视了防火墙的设置，要两者相结合才能使校园网络更加的安全。

[1]刘璨.访问控制列表在校园网的应用[J].东莞理工学院学报.2010.

[2]王尊.访问控制列表在高校校园网络安全中的应用[J].电子世界.2014.