如何禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器
2023-08-03 來自: 甘肅鵬森電子科技有限公司 瀏覽次數(shù):101
如何禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器?
對于企業(yè)網(wǎng)絡(luò),經(jīng)常會(huì)用到訪問控制,例如限制員工的上網(wǎng)時(shí)間?或如何控制各部門之間的網(wǎng)絡(luò)互通等等,在實(shí)際企業(yè)網(wǎng)絡(luò)項(xiàng)目中經(jīng)常會(huì)遇到,這里面我們就可以用到ACL訪問列表控制了,本期我們一起來看下,如何利用ACL禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器。
一、什么是ACL?
首先我們來了解下ACL,ACL即訪問控制列表,那么它有什么作用呢?
(ACL)訪問控制列表是一種基于濾的訪問控制技術(shù),它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進(jìn)行過濾,允許其通過或丟棄。
訪問控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī),借助于訪問控制列表,可以有效地控制用戶對網(wǎng)絡(luò)的訪問,從而地保障網(wǎng)絡(luò)安全。
例如:
為了某部門的保密性,不允許其訪問外網(wǎng),也不允許外網(wǎng)訪問它,就可以通過ACL實(shí)現(xiàn)。那么我們來看下實(shí)例,如何利用ACL實(shí)現(xiàn)禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器。
二、ACL禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器
幾乎大部分公司都有自己內(nèi)部服務(wù)器,里面有一些公司保密性的內(nèi)容,只供內(nèi)部員工進(jìn)入,禁止外部網(wǎng)絡(luò)訪問,大部分公司都會(huì)做這樣的限制,我們來看下這個(gè)華為的實(shí)例。
一、實(shí)例要求
某公司通過交換機(jī)實(shí)現(xiàn)各部門之間的互連。要求只允許公司內(nèi)網(wǎng)用戶可以訪問內(nèi)網(wǎng)中的財(cái)務(wù)服務(wù)器,外網(wǎng)用戶不允許訪問。
二、配置步驟
1、配置接口加入VLAN,并配置VLANIF接口的IP地址
# 將GE1/0/1~GE1/0/3分別加入VLAN10、20、30,這三個(gè)vlan中,也就是給公司三個(gè)部門各分配一個(gè)vlan。
GE2/0/1加入VLAN100,并配置各VLANIF接口的IP地址,也就是內(nèi)網(wǎng)財(cái)務(wù)服務(wù)器的端口單獨(dú)加一個(gè)vlan。
下面配置以GE1/0/1和VLANIF 10接口
下面配置以GE1/0/2和VLANIF 20接口
下面配置以GE1/0/3和VLANIF30接口
下面配置以GE2/0/1和VLANIF100接口
那么所有的部分對應(yīng)的接口都已經(jīng)配置完了。
這里面說下VLAN與VLANIF的區(qū)別:
通俗的說,vlan就是一個(gè)二層的接口。
VLANIF就是創(chuàng)建三層接口,可以在上面配置IP的,上面的例子就配置了ip,通常這個(gè)接口地址作為vlan下面用戶的網(wǎng)關(guān)。
2、配置ACL
# 創(chuàng)建高級ACL 3002并配置ACL規(guī)則,允許位于內(nèi)網(wǎng)的總裁辦公室、市場部和研發(fā)部訪問財(cái)務(wù)服務(wù)器的報(bào)文通過,拒絕外網(wǎng)用戶訪問財(cái)務(wù)服務(wù)器的報(bào)文通過。
3、配置基于ACL的流分類
# 配置流分類c_network,對匹配ACL 3002的報(bào)文進(jìn)行分類。
4、配置流行為
# 配置流行為b_network,動(dòng)作為允許報(bào)文通過(缺省值,不需配置
5、配置流策略
# 配置流策略p_network,將流分類c_network與流行為b_network關(guān)聯(lián)。
6、應(yīng)用流策略
# 由于內(nèi)外網(wǎng)訪問服務(wù)器的流量均從接口GE2/0/1出口流向服務(wù)器,所以可以在GE2/0/1接口的出方向應(yīng)用流策略p_network。
解決方案
解決方案