www国产亚洲精品久久小说,在线 | 一区二区三区四区,综合成人亚洲网友偷自拍,中文字幕人妻第一区,最近中文字幕mv

微思網(wǎng)絡(luò)
全國免費電話:400-881-4699
當(dāng)前位置:首頁>微思動態(tài) > >詳情
全國熱線電話 400-881-4699

在線留言

安全典型配置(四)

發(fā)布作者:微思網(wǎng)絡(luò)   發(fā)布時間:2023-10-17   瀏覽量:0

使用自反ACL實現(xiàn)單向訪問控制案例


自反ACL簡介

自反ACL(Reflective ACL)是動態(tài)ACL技術(shù)的一種應(yīng)用。設(shè)備根據(jù)一個方向的ACL,可以自動創(chuàng)建出一個反方向的ACL(自反ACL),該ACL和原ACL的源IP地址和目的IP地址、源端口號和目的端口號完全相反。自反ACL有一定的老化周期。如果在老化周期內(nèi)有符合自反ACL規(guī)則的報文通過接口,該接口的自反ACL規(guī)則將再被保留至下一老化周期;如果在老化周期內(nèi)沒有符合自反ACL規(guī)則的報文通過接口,該接口的自反ACL規(guī)則被刪除,這樣大大增加了安全性。

利用自反ACL,可以實現(xiàn)單向訪問控制,比如只有當(dāng)內(nèi)網(wǎng)用戶先訪問了外網(wǎng)后才允許外網(wǎng)訪問內(nèi)網(wǎng),從而能夠很好的保護企業(yè)內(nèi)部網(wǎng)絡(luò),使其使免受外部非法用戶的攻擊。


本例,就是將高級ACL進行自反,實現(xiàn)內(nèi)網(wǎng)主機能主動與Internet中的服務(wù)器建立UDP連接,但Internet中的服務(wù)器不能主動與內(nèi)網(wǎng)主機建立UDP連接,達到內(nèi)外網(wǎng)單向訪問控制的目的。


配置注意事項

本舉例適用于框式交換機的所有版本,不適用于盒式交換機。



組網(wǎng)需求

圖1所示,Switch作為網(wǎng)關(guān)設(shè)備,下掛用戶PC并連接Internet,已知各設(shè)備之間路由可達。為保證內(nèi)網(wǎng)環(huán)境安全,現(xiàn)要求Internet中的服務(wù)器只能在內(nèi)網(wǎng)中的PC先向其發(fā)起UDP連接請求的情況下,才能與PC建立UDP連接,實現(xiàn)單向訪問控制。

圖片

圖1 使用自反ACL實現(xiàn)單向訪問控制組網(wǎng)圖



配置思路

采用如下的思路在Switch上進行配置:

  1. 配置高級ACL,為后續(xù)設(shè)備生成自反ACL做準(zhǔn)備。

  2. 配置自反ACL功能,實現(xiàn)內(nèi)網(wǎng)主機PC1能主動與Internet中的服務(wù)器建立UDP連接,但Internet中的服務(wù)器不能主動與內(nèi)網(wǎng)主機建立UDP連接。



操作步驟

1、配置高級ACL

創(chuàng)建高級ACL 3000并配置ACL規(guī)則,允許UDP報文通過。

<HUAWEI>system-view
[HUAWEI] sysname Switch
[Switch] acl 3000
[Switch-acl-adv-3000] rule permit udp  //允許UDP報文通過
[Switch-acl-adv-3000] quit

2、配置自反ACL

# 由于來自Internet的報文從接口GE2/0/1進入Switch,所以可以在接口GE2/0/1的出方向配置自反ACL功能,對UDP報文進行自反。

[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000  //自反ACL應(yīng)用在接口出方向
[Switch-GigabitEthernet2/0/1] quit

3、驗證配置結(jié)果

執(zhí)行display traffic-reflect命令,查看自反ACL信息。

[Switch] display traffic-reflect outbound acl 3000
Proto  SP   DP   DIP             SIP             Count   Timeout  Interface
------------------------------------------------------------------------------
UDP    2    80   192.168.1.2       10.1.1.2       9       300(s)   GigabitEthernet2/0/1
------------------------------------------------------------------------------
* Total <1> flows accord with condition, <1> items was displayed.
------------------------------------------------------------------------------
* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff,
* SP=Source port,DP=Destination port,Count=Packets count(data).

上述顯示信息,只有在內(nèi)網(wǎng)主機主動向外網(wǎng)發(fā)起UDP連接時才會產(chǎn)生。由上述信息可知,GE2/0/1接口下對內(nèi)網(wǎng)主機PC1與Internet中的Server(IP地址為192.168.1.2)之間的UDP協(xié)議報文進行了自反,并對自反后的報文進行了統(tǒng)計。


?
返回頂部