2024年5月2日发(作者:)
第17卷第5期
2010年10月
东莞理工学院学报
J0URNAL OF DONGGUAN UN1VERSITY OF TECHNOL0GY
Vol l7 No 5
Oct 2O1O
访问控制列表在校园网的应用
刘璨
(东莞理工学院网络与教育技术中心,广东东莞523808)
摘要:访问控制列表是一种应用在路由器接口上的包过滤技术,其在网络设备接口上读取和分析数据
包头中的信息,与自身设置的策略进行比对,进而控制数据流的转发或者阻塞。访问控制列表在网络安全
防范中扮演着极为重要的角色。首先介绍了访问控制列表的一些基本原理,接着结合东莞理工学院校园网
的实际情况,介绍了访问控制列表技术在校园网应用中的一些技巧
关键词:访问控制列表;网络安全;网络管理;校园网
中图分类号:TP393.18 文献标识码:A 文章编号:l009—0312(2010)05~0032—04
访问控制列表技术…在网络管理应用中已经处于一个相对成熟的发展阶段,由于该技术可以直
接处理网络底层传输的数据包,并且无论是核心层网络设备还是接人层网络设备都有模块对其支
持,因此在网络管理中运用非常广泛。本文主要介绍了访问控制列表技术的基本原理,并且结合东
莞理工学院的实际情况,谈谈访问控制列表在本校校园网中的实际应用。
1 访问控制列表
访问控制列表是底层网络安全防范和保护的主要策略,其主要任务是保证网络资源不被非法使
用和非正常访问 。
1.1 访问控制列表的基本原理
访问控制列表,简称ACL(Access Control List),是一种使用包过滤技术,在路由器读取第
层、第四层包头中的地址和端口信息,再根据预先设计好的规则对数据包进行处理,进而达到访
问控制的目的p 。起初ACL只在路由器上支持,近几年上市的三层交换机和部分二层交换机也提供
这项功能。
ACL技术最基本的功能是在路由器端口处决定哪种类型的通信流量被转发或被阻塞,从而限制
网络流量,控制通信流量,提高网络性能和网络安全访问 。
在实际应用中,ACL能够区分不同的数据流。这也意味着ACL的本质其实是一种流量分类技
术,它是人为定义的一组或几组规则,目的是通过网络设备对数据流分类,以便执行用户规定的动
作。例如在路由器上可以结合ACL对一些特殊的数据包做策略路由,在防火墙上也可以利用ACL
选择特定的数据流进行NAT操作等。
1.2 访问控制列表的主要类型
目前主要有 种ACLp :标准ACL、扩展ACL和基于时间的ACL。
标7伟的ACL使用1-99之间的数字作为表号,扩展的ACL使用100~199之间的数字作为表号 。。
这两种ACL的区别 ’是:标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也
检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号以及其他参数。网络管理
员可以使用标准ACL阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流
量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制
收稿日期:20l 0—06—22
作者简介:刘璨(1 983一),男,湖南郴州人.主要从事核心路由交换和网络安全研究。
第5期 刘璨:访问控制歹 表在校园I碉的应州 33
范同。例如,网络管理员如果希望做到允许外来的Web通信流量通过,拒绝外来的Telnet等通信流
量,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制得这么精确。基于时间的访问控制
慧
列表则是在继承了扩展访问控制列表的基础上,引入了时间机制,可以在定制的时间段内生效。
1.3 访问控制列表的使用规则
煞
ACL的语法还有一定的使用规则,为了在实践中避免造成莫名其妙的错误,在使用ACL语句
实现某种目的的时候必须把握好这些规则 :
最小特权规则:受控对象被控制的总规则是各个规则的交集,只满足部分条件是不容许通过规
则的。
最靠近受控对象原则:所有的网络层访问控制,都采用白上而下的顺序在ACL列表中一条条
检测,只要发现符合条件了,就立刻转发,而不继续检测下面的语句。所以在定义ACL的时候,一
般把最可能出现的需要过滤的数据流优先放在规则的第一个,这样既可以节省路南器查询ACL的比
对时间(大部分数据查询一次就可以选择转发或者丢弃),又可以节约路由器的自身资源。
默认丢弃原则:在第 层交换设备ACL语法中,默认最后一句加入了deny any any,也就是丢
弃所有不符合条件的数据包。这一点要特别注意,很多莫名其妙的错误就可能发生在这里。还有值
得注意的是,ACL不能对本路南器自身产生的数据包进行控制。
根据上面介绍的访问控制列表的基本原理,结合我校实际情况,举例谈谈ACL在校园网中的
应用。
2 访问控制列表在东莞理工学院的具体应用
2.1 东莞理工学院网络拓扑结构介绍
简单介绍一下东莞理T学院的网络拓扑结构:校园网主要分为 个部分——学生宿舍区、教学
办公区和莞城校区。每一个部分都南一台Extreme 6808做核心设备,其中学生宿舍区和教学办公区
的两台Extreme 6808和网络中心放置的锐捷RGS8606核心交换机组成一个双链路环,跑OSPF路
南;锐捷RGS8606通过33.8公里光纤与莞城校区Extreme 6808连接;锐捷RGS8606与核心路由
器T128连接,再经过防火墙分别连接电信出口和教育网出口。具体如图1所示:
厂…一‘一
实验
夫楼
一
— _一 卿、
I
_… ●…
茺城
_ …
心I
薹一
栋
~—--1l
器群
}
—
行政横
≈
/ “” \
-
一一经管楼
L—一
——~
.
电f楼
汁算机楼
图密!I
符 说【月{
‘ 犬学建筑物
l :薹 一—=…:二= 『J・一一一 一
●‘●…
j
Q 住宅
通信链路
i薹 』
l :
自
园
鄹
防火墙
服务器
接人麒交换机
聚 交投机
一
-
一
・
一
糊一_一111IH'I
L—一文科楼
综合教学接 一一
L一--
鼙懑三÷一一
r一一
现代楼
艺术楼
学叶三活动中心
l墓 i 一I——iiri— i口 灞0一 -一
警 …一
图1 东莞理工学院校园网拓扑图
彗潮 一~机_乜化¨
0 健 一.一
东莞理T学院网络中心对访问控制列表的应用主要有:接人层交换机的病毒防范;核心层、汇
聚层交换机的网络安全;核心路由器的策略路由。接下来对ACL的具体应用情况做详细介绍。
34 东莞理工学院学报
2.2 访问控制列表在接入层交换机的应用
在接人层交换机中,我们主要的策略是通过扩展ACL将一些恶性病毒用于传播的端口还有一
些骇客常用的攻击端口封闭。例如:
冲击波(Worm.Blaster)病毒每20秒会检测一次网络状态,当网络可用时,病毒会在本地的
UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行
攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击;当病毒扫描到计算机后,就
会向目标计算机的TCP/135端口发送攻击数据,攻击成功后,便会监听目标计算机的TCP/4444端
口作为后门,并绑定cmd.exe;然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主
机,将msblast.exe传到目标计算机上并运行。我们就使用扩展ACL将TCP/I 35和TCP/4444两个
端口封闭,这样就可以显著地控制病毒在网络中的蔓延。
在默认情况下,SQL Server使用1433端口监听,可以在SQL Server配置的时候把这个端VI
改变,这样别人就不能很容易地知道SQL Server的监听端VI,但是通过微软未公开的UDP/1434端
口却可以探测出来。为了网络的安全,我们也封闭UDP/I434的访问,类似的还有TCP/I39、
TCP/445和TCP/593。
另外UDP/137,UDP/I38这两个端口主要用于网上邻居传输数据,由于我校学生宿舍IP地址
划分是以一个c类地址为单位,高峰时期一个VLAN里的机器同时在线超过200台。有公司过来抓包
测试,发现网络带宽被网上邻居这两个端口的数据消耗了40%,而这里大部分又是机器之间网上邻
居相互发现的无用数据包。因此,为了提高校园网带宽的利用率,我们也将这两个端口封闭。
2.3 访问控制列表在核心层、汇聚层交换机的应用
在核心层、汇聚层交换机中主要利用ACL拒绝学生宿舍区的1P地址访问我校核心设备的管理
段IP;禁止网络中心办公室以外的IP地址PING核心设备;还有替代一些没有ACL功能的老交
换机做限制病毒常用端口的工作。由于这些都是ACL最基本的丁作应用,所以在本文中就不加以
详细的描述。
2.4 访问控制列表在核心路由器的应用
在核心路F}1器ZXR10 TI28中,ACL的作用十分重要。因为我校校园网有两个出口,其中电信
出口的收费是按包年计算;而教育网出口则相对特殊,没有实行包月的策略,而是每月收取定额月
租(是包月价格的1/3),但是限定只能访问教育网总站规定的免费地址,如果通过本m口访问了
非免费的地址所产生的流量要按照1元/M进行额外收费。因此在核心路由器上主要的路F}{策略就
是:将目的地址是教育网IP地址的数据包做静态路由指向教育网出口;其他数据包由默认路南指向
电信 口。
校同网IP地址的划分是按学校办公区和服务器区直接使用教育网公网IP地址,而学生宿舍区则
使用私有IP地址进行的。但是学校有一些特殊的IP地址段,它们并不能完全按照常规的路南策略转
发,例如学校一些对外服务器的IP地址。
现在假设一个电信用户(设IP地址为A)要访问东莞理工学院主页(设IP地址为B),这时电
信用户首先会询问DNS服务器并得到学校主页服务器的IP地址B,由于B是教育网IP,所以电信
用户的数据包会先从电信网与教育网的接口转发到教育网,再转发到学校主页服务器(数据包的源
lP地址是A,目的IP地址是B)。但是主页服务器的返回数据包(源地址为B,目的地址为A),
在核心路由器上转发却出了一个问题,因为返回数据包的目的地址是一个电信地址,按照之前的路
由策略会将数据包转发到电信出口,再由电信出口防火墙将数据包的源地址NAT成电信的lP地址
(设IP地址为c)然后转发出去。此时的数据包(源地址为C,目的地址为A)返回到电信用户机
器上,由于往返数据包源目的IP地址发生了改变,TCP层建立不了连接,返回数据包被丢弃,最终
网页无法打开。
要解决这个问题,就只有用比静态路由和默认路由优先级更高的策略路由,将这一类有特殊需
求IP地址的数据包优先选择正确的路径路由。而策略路F}1的核心就是通过ACL将特殊的IP地址数
据包选择出来再进行路F}1转发。在上例中我们可以通过扩展ACL将源地址是主页服务器IP地址
H
第5期 刘璨:访问控制列表在校园网的应用 35
B,源端口号是80端121的数据包选择出来,然后直接从教育网出121转发。这样从主页服务器返回数
据包(源地址为B,目的地址为A)的源地址就不会被防火墙NAT成电信地址,最终网页可以正常
访问。
3 结束语
本文介绍了访问控制列表(ACL)技术的原理,以及访问控制列表技术在我校的具体应用,
ACL实现了基于IP地址的访问控制和端口的访问控制。访问控制列表技术大大地方便网络的管理;
仅使用控制命令就构筑了网络访问权限防火墙,在一定程度上加强了网络的安全性。在校园网的应
用中,ACL可以在最靠近用户节点的位置进行控制数据的工作,在高效完成任务的同时,也节省了
第 方网络管理软件的购置费用,大大降低了建网的成本。
参考文献
陆伟.ACL技术在校同网ll{|的应用[J]电腑知识与技术,2008(9):2965.2966
I 华丽, 1i泉沈问控制列发在网络安全中的应用…电子科技,2007(1):58—60
范萍,李罕伟甚于ACL的网络层访问权限控制技术研究『J1.心川师范大学:自然科学版,2004,27(5):89.92
晔JIIACL实现系统的安个访Mt4:¥0…计算机应用软件,2005,22(3):1 1 1.1 14
高、lE娴使用访问控制列 限制学 滥川校吲网络….中困信息界,2010(7):54.55
斌,徐小华利用访问控制列表构建安全网络[J]_科技信息,2O1o(16):627
周游.校园网络安全解决方案之访问控制列表….电脑知识与技术.2009,5(1 7):4413-4414
李骊.裁于访问控制列表下的校园网BT流量控制[J]福建电脑,2009(2):1 l4.1 15.
Access Control AppliCation i n
the Campus Network
LlU Can
(Network and Educational Technology Center,Dongguan University of Technology,Dongguan 523808,China)
Abstract Access Control List is a kind of packet filter technology applied in the interface of routers.and it
reads and analyses from the interface of network equipments the information stored in data packet head and then
compare with the strategy set by itself,thus control the transmission and blocking of data stream.Since Access Control
List plays a most important role in the protection of network security,this paper introduces some basic theory of Access
Control List and some techniques required in the using process of Access Control List technology in the application of
campus network according to the real situation of the campus network of Dongguan University of Technology.
Key words access control list;network security;network management;campus network
发布者:admin,转转请注明出处:http://www.yc00.com/web/1714586653a2475342.html
评论列表(0条)