2019年第6期
(总第 198 期)
信息通信 2019(Sum. No 198)INFORMATION & COMMUNICATIONS
路由器访问控制技术在校园网络安全中的应用陈海红(永州职业技术学院,湖南永州425000)摘要:随着数字化技术的推广应用,网络用户与应用范围越来越多,尤其在校园的网络中。随着应用数量的扩大, 各种安全问题也随之产生,成为了校园网络安全控制当务之急。为氏,提出路由器访问控制技术的应用,通过在
路由器上设置一条或多条访问规则管理与数据流的新型技术,对提高网络安全性与服务质量、防止网络攻
击等具有重要作用。鉴于此,笔者结合实践研究,就路由器访问控制技术在校园网络安全的应用方法进行简要
分析。关键词:路由器访问控制技术;校园;网络安全;应用分析中图分类号:TP393.08
文献标识码:A
文章编号:1673-1131(2019)06-0122-02大数据技术为数据资源分享提供了便利条件,怎样确保
ber][in|out]!将ACL应用于路由器的相应端口。第二,扩展ALC
指的是精细筛选数据至端口的控制技术。该类型技术检验信
息包的源主机地址和主机IP地址,通过扩展列表编码区分,扩
数据资源安全有待进一步研究。路由器访问控制技术是保证
网络安全的有效手段,Cisco路由器与交换机内嵌的互联网操 作系统具有安全机制。以互连网操作系统的访问控制技术为 媒介进行数据包筛选,创建安全的校园网络环境。展IP访问控制列编码区间100-19。扩展IPX访问控制列表
在标准IPX访问控制列表的条件下,增设对IPX报头中协议
1路由器访问控制技术概述类型、源Socket,目标Socket字段的分析,编码区间900-999.
扩展ALC有助于保护服务器,其不足是没有硬件ALC加速
1.1技术分析路由器访问控制技术(Access Contril List)指的是当网络 中数据资源受到攻击、威胁时通过管理与防护方案保证网络
时扩展ALC对路由CPU资源使用较大。第三,命名ALCo命
名ALC用一个字母的字符取缔在标准ALC和扩展ALC中 的列表号。命名ALC可以通过名称表示特定功能的ALC,便
安全。较早以前,ACL仅用于路由器,目前已经扩大到三层交
换机中,一些新的二层交换机也有了广泛应用。于对ALC的更改,配置简单。在ALC规则比较多、变化大时,
命名ALC可以降低后期网络维护任务量。第四,基于时间
1.2原理、过程、类别分析(1) 原理分析。ACL技术是在出入口控制数据包达到网络 的访问控制、流量。ACL技术原理是利用安全访问规则
限定网络访问权限,保证网络系统的安全使用。访问控制限
ALC在现有标准访问列表与扩展访问列表中添加有效时间范 围控制的访问技术。基于时间的ALC可以对路由器上流入
网与流出网络的数据按照时间段的安全策略实现附加控制,
确保管理的有效、安全。制对主要资源的访问,避免一些不法分子破坏系统。ACL技
术通过数据保温的源IP地址、目的口地址、协议类型的形式控 制网络的数据径向。数据包进入路由器后观察路由表判断数
2校园网络安全现状分析2.1校园网络的应用校园网络现已成为教育教学、办公重要组成部分,用户
数量较多且使用量大,特别是午休及课余时间。例如:PAP
据包的转发地址、接口,若无有关信息数据包被淘汰。数据包 在接口时,路由器结合设置得ACL规则确定能否通过,不符 合规则被淘汰。(2) 过程分析。ACL技术实质上是对各种数据信息的综合
判断,由上至下进行语序分析,如果第一个条件符合要求将不
会再比较其他条件。所以,语句的放置顺序尤为关键。路由 器数据控制过程为:第一,路由器收到数据包后检查访问控制
占有率较高,对WEB、E-mali与即时通信等使用体验效果 影响较大,一旦网络受阻、设备性能降低就会影响校园网稳
定性。加之,一些不健康信息的传播将进一步威胁校园网络 安全。2.2校园网络安全性现状校园网主机设备较多,而且不同的地区对网络安全性要 求不同,例如:薪资、教职工管理等并非随以访问,而且办公计
列表,数据包符合要求进行允许和拒绝操作,被拒绝的数据包
就会被淘汰,通过的数据包进入路由选择状态。第二,对于进
入路由器的数据包再按照路由器得路由表选择执行路由,若
算机有学生书卷等数据不希望学生随意访问。这对于计算机
之间的通信和网络安全有较高要求。校园网规划要保证网络
路由表不符合目标网络的路由将被淘汰。反之,数据包发送
到网络接口。设计和布局合理,结合各区域类型规划。此外,还要保证设备 安全性,禁止为外来信息与操作控制校园网络设备,例如:木
(3) 类型分析。现如今,路由器访问控制技术类型包括以 下几点:第一,标准ACL。该类技术是利用IP包中的源IP地
址筛选,抵制\\允许网络中的通信流量。配置过程中,不同标准
马中毒、黑客攻击,内部需要结合安全性配置ALC策略。比 如:学生无权访问服务器与使用网络设备等重要信息,才能保
ACL配置按照编码划分,标准IP访问控制列表按照IP包的 源地址选择,编码区间1-99。此外,还能判断IPX源网络号与
目的网络号,检验源地址与目的地址的节点号,编码区间
证校园网络安全使用。2.3病毒攻击病毒几乎与计算机应用同时出现,现如今计算机病毒已
800-9» 配置标准 ACL 指令格式为:Router (Config) #access- list [list-number] [permit|deny] [source-address] [wildcard-mask] [log] !创建标准 ACLRouter (Config)#ipaccess-group [list-num
经成为常见现象。校园网络中,病毒主要来源有互连网、软盘、 光盘等,传统的防范方法,不断的修复瘫痪计算机与网络已经
难以满足现代校园网络安全。目前,怎样进行技术创新已经
122信息通信成为校园网络安全防护研究当务之急。3路由器访问控制技术在校园网络安全中的应用结合校园网络层次性网络结构的网络拓扑结构图,接入
层设备选择S2126G交换机,汇聚层设备选择S3550三层交 换机。校园网子网包含宿舍楼、教学楼、行政楼、实训基地、校
园网络服务器群。交换机上划分vlan, vlanO为宿舍楼子网、
vlan20为教学楼和行政楼子网、vlan3O为实训楼、vlan为服务
器群子网。想要确保网络安全性与稳定性,接入层交换机和 汇聚层交换机连接,汇聚层交换机借助FO/1和RA路由器接
口 F1/O连接,汇聚层交换机借助接口 FO/8与服务器群网络连
接,路由器RA经过广域网接口 S1/2、路由器RB广域网接口
S1/2连接,路由器RB经过以太网口 F1/KISP服务提供商接
入网络。3.1禁止/允许网络服务想要保证校园网络安全有必要对网络资源进行适当,
在RB的上配置安全访问措施。其中,宿舍楼网络只于访
问服务器99.99.1的WEB服务,其他服务无权访问。教学楼、 行政楼访问有权访问其他网络资源。实训楼网络禁止访问服 务器99.99.1.1服务,可以访问其他互连网资源。想要保证访 问稳定建议在RB路由器中设置安全访问控制列表。3.2禁止主机通讯校园网主机容易受到病毒攻击,且设备中毒将会影响局 域网稳定性,甚至造成网络瘫痪。因此,定期监测病毒与病毒
隔离有重要作用。例如:宿舍楼主机IP地址为172.16.10.10 中病毒,正向局域网内部其他主机就会不断的传输数据包。该
过程中,应用路由器路ACL访问策略抵制主机的数据输送,
将影响降至最低。所以,建议在路由器RA上配置ACL技术 保证网络安全。3.3降低潜在风险第一,Dos攻击会通过路由器中小服务,比如:echo,discard 等。因此,需要在路由器上关闭一些服务。第二,源路由使用
数据链路层数据穿过网路层。这样一来,将会允许不法分子
为本地网上的信息制定错误的路由,还需禁止应用源路由,选
择no ip source-routeo第三,不法分子通过ICMP重定向来对 路由器展开重定向,把需要传送到准确目标的信息重定向至
既定设备,得到访问权限。因此,需要在外部网络禁止ICMP
重定向no ip source-route。第四,cisco路由器局域网接口在缺
省条件下启动代理APP,尽管是一个有用的特征,但也存在很
多不足,比如:不必要得主机通讯。因此,关闭no ip proxy-arp 功能。3.4 Ping指令出错提示信息应用Ping判断故障时经常提示错误信息,应用好的信息 排除网络故障。Ping指令的指示信息包括以下几种情况。第
—,Unknow host指的是无法识别的IP地址。这是因为命名
服务器存在故障或主机名字错误,管理员系统和远程主机之
间通讯线路故障。第二,Request Time Out指的是与远程主机 连接超时,数据包缺失。这是因为路由器的连接不当、未通过
路由器导致远程主机停机。第三,No Answer指的是无响应。 表示系统有一条达到远程主机的路由,不能接受它的发给该 远程主机的分组报文。这是因为远程主机未工作,网络配置
错误或远程路由器无工作、通讯线路故障。第四,Network Un
reachable 指的是网络无法达到。因为计算机系统未达到远程
陈海红:路由器访问控制技术在校园网络安全中的应用系统的路由,可用netstat-m判断路由来确定路由配置状态。总 而言之,判断网络是否连接和判断网络故障首先需要合理使
用Ping指令。3.5控制服务器访问服务器能够为用户提供共享资源与服务,是用户主要访
问对象。与此同时,也是病毒攻击主要目标。所以,加强服
务器管理尤为重要,提出创建ACL避免对服务器的非正常 连接和访问,避免受到病毒侵害,只于服务器对应的数
据流经过。比如:对目的为WWW服务器的数据流仅可以是 端口号为80的通过;目的地为DNS服务器的数据流,尽可
以是端口号为53的通过;目的地为email的服务器的数据流 仅可以是端口号为80.25,110的通述目的地FTP服务器的
数据流仅可以端口为21通过。因此,需在路由器R2上进行
配置。3.6防病毒与黑客校园网络安全中,病毒与黑客是主要影响要素,常见防范 防范为安装防火墙与杀毒软件。同时,为增强校园网络安全 性在路由器上创建ACL过滤病毒。例如:病毒与黑客攻击程
序的端口有69、135、13&445、539、444等,为此我们可以创建
ACL禁止这些端口匹配的数据包通过路由器,实现病毒与黑
客攻击防范,保证校园安全。4结语综合分析,路由器访问控制技术具有控制方式简单、应用
广。不过也存在很多不足,例如:过滤只局限于第三层与第四 层包头的部分信息,难以识别到具体的人和内部权限。ACL 技术应用在校园网络未来前景广阔,需要与系统、应用级的访
问权限控制与防火墙、内网安全系统等网络安全技术融合。怎
样运用ACL技术与网络安全技术融合、提高网络安全性与服
务质量、防止网络攻击值得深入研究。参考文献:[1] 张特晓,吴映兰.虚拟专用网络技术在中职学校网络信息
安全中的应用[J].信息与电脑(理论版),2019(04):221-222.[2] 王爱荣.网络安全技术在中职校园网中的应用探讨[J].中
国校外教育,2018(31):152-153.[3] 潘思治.数字化校园网络安全防范机制构建和应用策略探
究[J].计算机产品与流通,2018(10):3 &[4] 翟丽.现代网络安全技术及其在校园网络中的研究与应用
[J].电脑知识与技术,2018(28):28-29.[5] 尹文皓.基于高校校园网络安全技术及相关应用探索[J].
网络安全技术与应用,2018(08):80+90.[6] 韩昊.大数据技术在高职院校校园网络安全中的应用[J].
数字技术与应用,2018(07):215-217.[7] 王宏国.校园网网络安全策略构建与应用研究[J].通讯世
界,2018(05):113-114.[8] 黄健.网络安全技术及策略在现代校园网络中的应用研究
[J].网络安全技术与应用,2018(03):73+86.[9] 黄超.网络防火墙技术在校园网安全中的应用研究[J].黑
龙江科学,2018(01):132-133.作者简介:陈海红(1982-),女,湖南东安人,专职教师,讲师,硕 士学位,研究方向:现代教育技术和网络安全。123
