ACL在校园网核心设备的配置方案

2016-02-06覃德泽张家伟

网络安全技术与应用 2016年8期

关键词：网段网络设备数据流

◆覃德泽张家伟

（1.贺州学院计算机科学与信息工程学院广西 542899；2.北京天宏海阔科技有限公司北京 100083）

ACL在校园网核心设备的配置方案

◆覃德泽1张家伟2

（1.贺州学院计算机科学与信息工程学院广西 542899；2.北京天宏海阔科技有限公司北京 100083）

校园网的核心设备主要有路由器和交换机等。通过在它们中设置访问控制列表（ACL），可以对进出校园网络的流量进行有效控制。本文针对校园网络管理中的有关需求，在边缘路由器和核心交换机中合理配置ACL。仿真实验表明，本配置方案能够实现校园网络的有效监控和安全管理，是科学、实用的方案。

校园网；核心设备；ACL；配置方案

0 引言

随着校园网络规模扩大，用户及应用的增多，各种校园网络的安全问题也随之出现，并日显突出。为了校园网络的安全，就必须对进出校园网络的流量进行有效控制，即拒绝那些不安全的访问链接，同时又要允许那些正常的网络访问。一种较好的办法就是在校园网的核心设备，如边缘路由器、核心交换机中配置访问控制列表（ACL）。通过配置ACL，可以对不同的用户进行分别管理，限定特定网段和特定流量访问互联网，加强了校园网的安全控制。这种方法的优点是：不需要增加网络设备即可实现校园网络的安全性。本文主要探讨如何在校园网的核心设备中配置ACL。

1 ACL的工作原理

ACL（Access Control List，ACL）即访问控制列表。该技术源于20世纪60年代，它是对包进行过滤，读取路由器上的数据包中第三层以及第四层包头中信息，如源地址、目的地址、源端口、目的端口等信息，然后根据预先设定好的规则完成对包的过滤。ACL是一个路由器的配置脚本，它能够根据分组报头中的条件来控制路由器允许还是拒绝分组，还能选择数据流类型，对其进行分析、转发或者其他处理。每当数据分组经过端口时，按从上到下的顺序且每次一行的方式来执行ACL语句，从中查找到分组匹配的语句从而决定分组是被允许还是被拒绝。

2 ACL的类型

目前主要的ACL分为标准ACL和扩展ACL。其他的还有自反ACL、基于时间ACL、以太协议ACL、IPv6 ACL等。

2.1 标准ACL

只根据源IP地址过滤分组，与分组的目标地址和端口无关紧要。编号ACL中标准IP ACL使用1-99以及1300-1999之间的数字作为编号，而命名ACL使用包含字母数字字符，不过建议以大写字母书写，但名称中不能包含空格或标点，且必须以字母开头。

2.2 扩展ACL

根据多种属性过滤IP分组，如源和目标IP地址、源和目标TCP/UDP端口、协议类型（IP、UDP、TCP或协议号）。编号ACL中扩展IP ACL使用100-199以及2000-2699之间的数字作为编号，而命名ACL使用包含字母数字字符，不过建议以大写字母书写，但名称中不能包含空格或标点，且必须以字母开头。

2.3 自反ACL

是基于上层会话信息来过滤数据包。它允许起源于内网的数据流通过路由器，外网响应起源于内网的之前的会话的数据流也可以通过路由器，但是禁止起源于外网的数据通过路由器进入内网。

2.4 基于时间ACL

能设置在特定时间范围内允许或拒绝网络访问。该ACL允许网络管理员对流入网络和流出网络的数据加以控制，不同的时段定义不同的安全策略。而设备是根据系统时钟来判断时间，因此，管理员就必须保证系统时钟准确。

3 校园网络安全现状及分析

校园网内的主机数量很大，其中有的主机存储重要的数据信息，这对计算机间的通信以及网络的安全性是一个极大的考验。首先网络设计与布局要合理。其次要确保网络设备的安全性，对外要防范非法信息与操作进入校园的网络设备，如黑客攻击、病毒入侵等，对内要根据安全性需求为给定用户设定权限，比如禁止学生telent重要的网络设备与访问服务器等，这样才能保障校园的网络安全，使计算机间能正常通信。最后，保障校园网内的信息安全也是必要的，包括个人及公共的信息安全。

4 校园网对ACL的功能需求

校园网络主要使用者是教师、学生和行政管理人员，一个好的校园网络环境可以让用户更好学习、工作以及娱乐。因为校园内人口密集，所以保障信息安全就显得尤为重要，这就需要通过安全策略来限制非授权用户只能访问特定的网络资源。为了达到这个目的，可以在网络的核心设备中配置ACL，因为ACL是控制访问的一种网络技术手段，能够为校园网的安全提供基本保障。

为了达到校园网络的安全性管理要求，在校园网中使用ACL要达到如下功能。

（1）禁止非管理人员telnet网络设备，防止非法用户恶意修改网络设备内的配置，确保网络设备的安全性。

（2）禁止学生telnet各部门、各科室的电脑，预防重要数据、资料遭受破坏，影响正常工作。

（3）禁止学生telnet服务器，预防服务器设置被意外修改，数据遭受破坏，确保服务器的正常运行，确保数据的保密性、完整性和可用性。

（4）根据学校有关要求，禁止学生通宵上网，以保证睡眠质量，以免担误学习，荒废学业。

（5）禁止学生访问非法的网站或服务器。

（6）根据要求，对校园网中的某些特殊网段进行特殊保护，禁止任何数据流量的流入或流出。

（7）防止病毒入侵校园网，如防范蠕虫等病毒进入校园网络。

5 ACL在校园网核心设备中的配置方案

图1 校园网简略拓朴图

如图1为某校园网的简略拓朴图，其中R1为校园网边缘路由器，C1为核心（三层）交换机，DQ1、DQ2、…、DQ5为各大楼（分布层）交换机，JXJXY、XQJSL1、…、XQXSXS1为相应大楼某一楼层（接入层）交换机。

为了实现小节4提出的功能需求，核心设备的ACL配置方案如下。

5.1 交换机的配置

不同的需求需要配置不同的ACL，以西区学生宿舍1栋为例（大楼（分布层）交换机为DQ5）配置ACL，其它分布层交换机配置类似。

（1）拒绝FTP与telnet

DQ5（config）#access-list 110 deny tcp 192.168.23.0 0.0.1.255 192.168.2.0 0.0.0.255 eq 20 //拒绝FTP。（服务器群网段：192.168.2.0/24；西区学生宿舍1栋网段：192.168.23.0/23）

DQ5（config）#access-list 110 deny tcp 192.168.23.0 0.0.1.255 192.168.2.0 0.0.0.255 eq 21 //拒绝FTP

DQ5（config）#access-list 110 deny tcp 192.168.23.0 0.0.1.255 any eq 23 //拒绝Telnet数据流

DQ5（config）#access-list 110 deny icmp 192.168.23.0 0.0.1.255 192.168.4.0 0.0.0.255 //禁止icmp数据包进入财务处。（财务处网段：192.168.4.0/24）

DQ5（config）#access-list 110 permit ip any any //允许其它数据流通过

DQ5（config）#interface fa0/3

DQ5（config-if）#ip access-group 110 in //将ACL应用到接口

DQ5（config）#exit

（2）使用ACL控制VTY访问

可以拒绝非法的访问，保障网络设备的安全性。

DQ5（config）#access-list 10 permit 192.168.1.0 0.0.0.255//交换机和路由器的管理网段：192.168.1.0/24

DQ5（config）#access-list 10 deny any

DQ5（config）#line vty 0 4

DQ5（config-line）#login

DQ5（config-line）#password cisco

DQ5（config-line）#access-class 10 in

（3）使用基于时间ACL限制上网时段

基于时间ACL不仅能够让网络管理员更好地控制对资源的访问和控制日志信息，还能使学生在工作日获得充分休息时间，不至于影响第二天的工作、学习，保证教学质量。

DQ5（config）#ntp source giga0/1 //指定NTP服务连接国家授时中心的端口

DQ5（config）#ntp server 210.72.145.44 //国家授时中心地址

DQ5（config）#ntp update-calender //更新时间

DQ5（config）#time-range time-online //创建能够上网的时间序列

DQ5（config-time-range）#periodic weekdays 06：00 to 23：00 //工作日6点到11点

DQ5（config-time-range）#periodic weeked 00：00 to 23：59 //周末全天

DQ5（config）#ip access-list extend net-control //创建访问控制列表

DQ5（config-ext-nacl）#perimt ip any any time-range time-online //在时间序列内可以通过

DQ5（config-ext-nacl）#exit

DQ5（config）#interface giga0/4

DQ5（config-if）#ip access-list net-control in

（4）利用自反ACL限定访问特定网段的数据流

由于自反ACL只允许内网用户主动访问外网流量，外网主动访问内网的所有流量都被拒绝。但它允许由内网发向外网的返回（应答）流量。这对有严格要求的科室能起良好的防范作用，如财务处。财务处位于分布层交换机DQ3所在大楼内。

DQ3（config）#ip access-list extended zfacl-out

DQ3（config-ext-nacl）#permit tcp 192.168.4.0 0.0.0.255 any reflect TCPTRAFFIC //根据列表，产生自反项

DQ3（config-ext-nacl）#exit

DQ3（config）#ip access-list extended zfacl-in

DQ3（config-ext-nacl）#evaluate TCPTRAFFIC //生成自反列表

DQ3（config-ext-nacl）#exit

DQ3（config）#interface fa0/4

DQ3（config-if）#ip access-group zfacl-in in

DQ3（config-if）#ip access-group zfacl-out out

5.2 路由器的配置

路由器作为局域网的“大门”，它是实现与外网互联的关键。除了像交换机一样使用ACL控制VTY访问、使用基于时间ACL限制上网时段等外，还要利用ACL阻挡非法或不安全信息进入局域网，使路由器具有防火墙功能。例如，利用ACL阻止病毒入侵。

阻断病毒从特征端口进入，从而达到降低网络常见病毒的传播性的目的，也降低病毒对网络安全的危害性。我们已经知道病毒程序和网络攻击程序常利用的端口有135、137、138、139、445、539、593、1434、4444、9996、5554 等，通过建立ACL，禁止与这些目的端口匹配的数据包通过路由器，把病毒阻止在大门之外，就达到保护网络安全的目的。

R1（config）#ip access-list standard zdbd

R1（config-ext-nacl）#deny tcp any any eq 135

R1（config-ext-nacl）#deny udp any any eq 135

R1（config-ext-nacl）#deny tcp any any eq 137

R1（config-ext-nacl）#deny tcp any any eq 138

R1（config-ext-nacl）#deny tcp any any eq 139

R1（config-ext-nacl）#deny any any eq netbios-ssn//禁止连接文件与打印共享端口

R1（config-ext-nacl）#deny tcp any any eq 445

R1（config-ext-nacl）#deny udp any any eq 445

R1（config-ext-nacl）#deny tcp any any eq 539

R1（config-ext-nacl）#deny any any eq 539

R1（config-ext-nacl）#deny udp any any eq netbios-ns//禁止连接NetBIOS名称服务端口