基于访问控制列表的网络化实验室管理new

《基于访问控制列表的网络化实验室管理new》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、实践与经验基于访问控制列表的网络化实验室管理李菡（台州学院数信学院，台州317000）摘要：针对实验室管理的复杂化，引入ACL技术。通过ACL，实现在实验室中对学生上网权限和时间的控制，也可防止非法探测，还能封闭特定端口来防范病毒等，提高实验室的网络安全性，减轻教师的管理工作。关键词：访问控制列表（ACL）；网络安全；网络管理0引言 ，，，随着网络技术的飞速发展和高校办学规模不断
，，壮大，各高校都建立自己的计算机实验室和校园网络系统,为高校师生教学、科研、管理提供了良好的环境。学校计算机实验室承担了全校学生所有上机课图1访问控制列表程，不同课程的需求也不一样，需对

2、学生访问互联网的范围、权限或时段加以控制；互联网上病毒泛滥且1.2访问控制类别的特性实验室要保证师生的教学、科研要求,网络安全就显访问控制列表分为两种类型：①标准IPACL，主得非常重要。为解决以上问题，在相关的路由器上作要是根据数据包的源地址进行过滤；②扩展型ACL，一些访问控制列表,可满足师生的一些特别要求，在它在数据包的过滤方面增加了不少功能和灵活性，除一定程度上可保证网络安全，抵抗恶意的攻击，过滤了可以基于源IP地址和目的IP地址过滤外，还可以互联网上不安全的信息流。根据协议(TCP，UDP，ICMP等)、源端口和目的端口过滤，甚至可以利用各种选项过滤[3~4]。1访问控制列表2A

3、CL在实验室中应用实例1.1访问控制列表的概念访问控制列表(AccessControlList)是应用到路在实验室管理中，通过使用ACL技术，实现了在由器接口的指令列表,用来控制端口进出的数据包；实验室中对学生上网权限和时间的控制，也可防止非它是一组由源地址、目地地址、端口等决定的允许和法探测，还能封闭特定端口来防范病毒等。拒绝条件组成的有序的集合,通过匹配报文中的信息2.1上网权限控制与访问控制列表参数可以过滤发进和发出的信息包学校机房承担了全校学生所有上机课程的实验的请求,实现对路由器和网络的安全控制[1~2]任务，不同课程的需求也不一样，需对学生访问互联。现如图1，当IP分组经过输入

4、端口进入路由器时,网的范围、权限或时段加以控制，否则在上机实验过代在路由器上读取第三层及第四层包头中的信息例如程中会遇到诸多问题，有些课程需要上机期间能上因计算源地址、目的地址、源端口、目的端口等,对照路由器特网搜索、下载资料，有的则不需要上因特网。机访问控制列表的设置,逐一进行比较,如果是允许的在开通因特网时，有些学生在上课期间经常偷偷（总数据包,则进行转发,从输出端口输出,否则数据包被地进行QQ聊天、玩网络游戏，或者登录一些视频网第抛弃,拒绝通过。站看电影，等等，这不仅给教师的管理带来困难，而且三一收稿日期：2009-09-02修稿日期：2009-10-26九作者简介：李菡（1979-

5、），女，河南商丘人，硕士，实验师，研究方向为计算机网络、软件测试期）MODERNCOMPUTER2009．11貋貖貦实践与经验还影响实验室的网络安全。针对此问题，在交换机上interfaceEthernet1配置访问控制列表即可控制实验室所有机器的网络ipaccess-group102in访问权限。例如对QQ和MSN的配置，先查找软件和time-rangetime1外部的通信端口，然后在交换机上配置ACL过滤这absolutestart1：001may2009end24：0031may2009periodicTuesday8：00to12：00些端口的包来实现。若禁止网段230.33.18

6、1.0内所有ipaccess-list102denytcpanyanytime-rangetime1电脑访问QQ和MSN，如图2所示：2.3防止外网的非法探测

((黑客对内部网络发起攻击前,一般会用ping或其
他命令探测网络，通过禁止从外部用ping、traceroute
 
等探测网络来进行防范黑客的攻击。可建立如下访问控制列表:access-list103denyicmpanyanyunreachable/*阻止!"#$%&’用ping探测网络*/图2禁止QQ和MSN的配置过程

7、access-list103denyicmpanyanypacket-too-big/*阻止用ping的大数据包攻击*/access-list101denytcp210.33.181.00.0.0.255anyeqaccess-list103denyicmpanyanytraceroute/*阻止用8000//QQtraceroute探测网络*/access-list101denyudp210.33.181.00.0.0