基于ACL技术在高校校园网安全管理的应用与研究.pdf.pdfVIP

第 29卷 第 l期 邢 台 职 业 技 术 学 院 学 报 、，oI．29 No．1 2012年 2月 JournalofXingtaiPolytechnicCollege Feb．2012 基于ACL技术在高校校园网安全管理的应用与研究 董会 国，路俊维，李 军 (邢台职业技术学院，河北 邢台 054035) 摘 要：随着信息化和网络的迅速发展，如何对校园网进行安全管理，成为当前校园网面对急 需解决的问题。针对当前校 园网的实际情况，通过使用ACL技术进行权限的控制和管理，限制 特定网络流量，提高校园网络性能和局域网安全。 关键词：校园网：ACL；网络安全 中图分类号：TP393．1 文献标识码：A 文章编号2012)0l—0086_ 4 一 、 引言 在校园网局域网内有教学、管理、行政和各系部的办公网络以及学生机房网络。不同局域网通过路 由器进行信息传递，在当前校园局域网络管理中，为了安全，要求对网络流量进行控制，网络管理员经 常面临必须设法拒绝那些不希望的访问链接 ，同时又要允许那些正常的访 问链接 的问题 。可 以在校园网 络中应用访 问控制列表技术对不同的用户进行分别管理，限定特定网段和特定流量访 问互联网，加强了 对校园网的控制，使得校园网管理更加方便灵活、安全可靠，更好地为教学服务。 二、访问控制列表概述 (一)ACL技术原理 访 问控制列表 (Accesscontrollist，缩写ACL)使用包过滤技术，在路由器上读取第三层及第四层包 头中的信息如源地址、 目的地址、源端 口、 目的端 口等，根据预先定义好的规则对包进行过滤，路由器 根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。ACL的定 义是基于所有协议的，如IP、IPX等，换言之，如果想控制某种协议的通信数据流，那么必须要对该接 口 处的这种协议定义单独的ACL。例如，路由器接 口配置成3种协议，那么至少要定义3个访 问控制列表 (ACL)。IPACL只过滤IP报文：同样，IPXACL只过滤IPX报文 【¨。利用ACL技术在校园网中可 以限制 一 些服务来达到限制流量的目的；可以设置对上网时间的控制，从而限制学生长时间的上网；可以过滤 一 些常见的病毒以及可以设置一些黑 白名单来限制学生机器访 问的网站，做到安全上网等等 。 (二)ACL技术分类 根据所使用的判断条件不同，ACL基本上分为以下两大类： 1．标准ACL 标准的ACL使用 1．99以及 1300．1999之间的数字作为表号，标准ACL可以阻止来 自某一网络的所 有通信流量，或者允许来 自某一特定网络的所有通信流量，或者拒绝某一协议簇 (比如 IP)的所有通信 流量 3【】。标准ACL的语句所依据的判断条件是数据包的源 IP地址，它只能过滤来 自某个网络或主机的数 据包，功能有限。 2．扩展ACL 扩展的ACL使用 100．199以及 2000-2699之间的数字作为表号，扩展ACL的语句所依据的判断条 件是数据包的源 IP地址、 目的IP地址、协议及数据所要访问的端 口。 3．建立ACL的作用 第一，限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包 具有更高的优先级，同等情况下可预先被路由器处理。 收稿 日期：2O12—01—11 基金项 目：邢台市教育科学 “十一五”规划课题一一校 园网建设及其安全管理的研究，课题编号：1010048。 作者简介：董会国 (1979一)，河北邢台人，邢台职业技术学院信息工程系，讲师。 86 邢台职业技术学院学报 2012年 第 1期 第二，提供对通信流量的控制手段。ACL可以限定或简化路由更新信息的长度，从而限制通过路由 器某一网段的通信流量 。 第三，提供网络访 问的基本安全手段。 第四，在路 由器接 口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 在校园网管理中要求工作时间之外使用 www 这