基于ACL的校园网安全策略的研究

龙源期刊网 https://www.360docs.net/doc/0c18875438.html,

基于ACL的校园网安全策略的研究

作者：高亚娴

来源：《硅谷》2014年第23期

摘要高校校园网用户多，信息量大，很容易造成网络堵塞或病毒传播，使用访问控制列表（ACL）可以对占用带宽大的学生网段进行适当的上网权限限制，或限制特定时间段访问互联网，加强对校园网的安全管理，提高校园网的相应安全策略。

关键词访问控制列表（ACL）；校园网；安全策略

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）23-0164-02

随着高校校园网的规模和应用不断扩大，大量占用带宽的软件不断出现，对校园网的非法访问，病毒攻击现象随时发生，同时无限制的使用网络耗费了学生大量的课余时间，上网所带来的问题日益显现，对校园网的安全策略提出了更全面的要求，如果不采取有效的管理措施，很容易造成网络堵塞和病毒传播。

1 ACL

1）ACL简介。

ACL（Access Control List）应用于路由器接口，是一组由permit（允许）和deny（拒绝）语句组成的条件列表，进行数据包的过滤。ACL通过设置匹配条件如源、目的地址、端口号

等信息判断并决定通过端口的数据包是否被转发或丢弃，用来控制进出端口的数据包，以达到某种访问控制。

2）ACL工作过程。

配置ACL后，依据过滤规则对数据包执行允许或者拒绝其通过，可以保证网络资源不被非法使用和访问。数据包到达端口时，读取数据包包头中的信息，如源IP地址、源端口号、目的IP地址、目的端口号以及协议类型等，与ACL语句列表自上而下逐一对照，如有匹配语句，则按该语句中的permit或deny“允许”或“拒绝”数据流通过，后续语句就不再进行处理，如果没有找到匹配的语句，就执行末尾隐含的deny语句，拒绝数据流通过。所以一组ACL语句应该至少有一条permit语句，否则所有数据包都被丢弃。

3）ACL分类。

访问控制列表主要有两类：①标准ACL，是最简单的ACL，仅根据数据包的源IP地址进行数据包的过滤，可以阻止来自某一特定网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。使用的ACL号为1到99。