访问控制列表ACL在校园网中作用分析.docVIP

访问控制列表ACL在校园网中作用分析 　　摘要：随着互联网信息技术的发展，网络的普及范围越来越广，为了顺应现代化教育改革的需求，网络与校际互联迅速，校园网提供了校园动态信息的发布以及远程教学服务等，校园网的安全问题便引起了人们的重视。该文对此展开探究，对基于ACL访问控制列表的校园网安全建设展开探究，概述了ACL的基本原理与功能，对ACL创建与配置展开详细研究，提出了基本创建与配置方法，并介绍了ACL在校园网安全建设中的实际应用，验证了访问控制列表ACL在校园网中起到的重要安全防护作用。 　　关键词：ALC；校园网；网络安全策略；访问控制列表 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）33-0070-02 　　高校校园网安全问题一直以来都受到各界关注，高校网络安全威胁包括病毒入侵、系统漏洞、垃圾信息、恶意破坏、淫秽信息传播、滥用资源等。高校校园网络通常存在操作系统与软件安全漏洞，对系统用户的正常使用造成恶劣影响，阻碍了网络的稳定运行，带来了重大的安全威胁。这些漏洞与威胁如果遭到黑客的恶意使用，就会造成校园网的全面瘫痪，甚至会带来灾难性的破坏。网络病毒传播速度非常快，如果校园网用户系统没有安装相应的杀毒软件，缺少病毒库的更新，就会造成大量用户安全信息的泄露，造成网络资源的消耗。高校校园网建设中，网络使用初期往往并不会出现问题，而随着学生数量的增多，校园内部的网络运行速度就会有所降低，而通过在路由器上设置一道使用网络层的ACL访问控制列表，就能够有效解决这些问题。 　　1 ACL概述 　　访问控制列表（Access Control List，ACL）由路由器与交换机接口共同组成，通过构建一项指令列表，对端口进入的数据包进行安全把控。现阶段访问控制列表受到所有路由?f议支持，包括IP、IPX、AppleTalk等。从通信安全的角度来看，信息点之间的通信安全性决定了网内的安全性，所以对网内的安全保护必须从数据访问范围入手。通过构建与实施安全方案对未经授权的用户加以限制访问，进而达到阻绝未经授权用户的目的，而该类用户只能够访问个别特定网络资源，对于网内形成一种访问控制。从流量过滤的角度来说，ACL就是用以过滤网络流量的特殊技术手段，其特有配置能够对网络流量起到限制作用，并决定其访问权限，或允许访问特定资源，或允许特定设备访问网内，通过制定与转发端口数据包，实现对外部设备的访问控制。从配置途径来看，访问控制列表可以配置在路由器上，也可以配置在特定软件商，比如具有ACL功能的业务软件等。ACL是目前重要的系统安全保护技术，被广泛应用于物联网，能够有效防止非法设备对系统的破坏，防止非法获取内网资源。 　　1.1 基本原理 　　访问控制列表主要采用了数据包过滤技术，对数据包信息进行全面详细的获取，主要包括源地址、目的地址、目的端口等。ACL配置中会事先设定相应规则，访问控制列表根据规则过滤数据包，不符合规则直接予以限制访问，达到控制访问的目标。数据包进入到路由器时，路由器会判断数据包的源地址，如果其源地址是可路由的，则进行下一步操作，如果不是可路由的，则直接放入垃圾桶中；随后，由路由器在访问控制列表中寻找入口，没有找到入口则说明不符合规则，直接放入垃圾桶；如果能够找到则进入下一步；随后，再选择路由器接口，进入接口之后使用ACL，触动包过滤技术，根据路由器上读取的包头信息，与事先设定的控制规则进行比较，滤除所有不满足规则的数据。 　　1.2 配置原则 　　配置ACL通常要遵循以下基本原则： 　　1） 最小特权原则：即要求只给予受控对象完成任务的最小权限； 　　2） 最靠近原则：即所有的网络层访问权限控制要尽量距离受控对象最近； 　　3） 默认丢弃原则：每个访问控制列表的最后一个隐藏规则为deny any any。 　　具体根据不同设备对ACL技术的支持与配置，会有一些区别，而这些区别往往对于网络安全策略的配置效率很重要。 　　1.3 ACL分类 　　前阶段主要有三种ACL：标准ACL、扩展ACL、命名ACL。目前有的地方也会结合实际需求使用一些特殊ACL，比如以太协议ACL等。其中，常见的标准ACL标号为1-99的数字，扩展ACL则为100-199。通过配置标准ACL能够起到对特定网络全部流量包的限制，或者限制某协议族的全部通信流量包。相比较而言，扩展ACL的控制范围更大，换句话说就是对访问控制更准确，比如可以选择允许外来Web通信流量通过，但拒绝外来FTP通信流量的通过，从而达到实用的控制目的。而命名ACL则是将列表名称用于ACL的编号定义，一般也有标准与扩展两种形式，可以对列表中个别的项目进行删除，也就是便于列表修改。 　　比较三者的区别，在标准ACL与扩展ACL中