欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 新闻 > 国际 > 分享从零开始学习网络设备配置--任务6.4 使用高级ACL限制服务器端口防攻击

分享从零开始学习网络设备配置--任务6.4 使用高级ACL限制服务器端口防攻击

2024/12/31 1:14:06 来源:https://blog.csdn.net/m0_59193722/article/details/144465719  浏览:    关键词:分享从零开始学习网络设备配置--任务6.4 使用高级ACL限制服务器端口防攻击

任务描述

        某公司构建了互联互通的办公网。北京总部的网络核心使用一台三层路由器设备连接不同子网,构建企业办公网络。通过三层技术一方面实现办公网络互联互通,另一方面把办公网接入Internet网络。   公司在天津设有一分公司,使用三层设备的专线技术,借助Internet和总部网络实现连通。由于天津分公司网络安全措施不严密,公司规定:天津分公司的销售部访问禁止总公司的FTP服务器资源,允许销售部和技术部访问总公司的Web等公开信息资源,而除此之外对服务器的其他访问均被限制,来达到保护服务器和数据安全的目的。

任务要求

(1)使用高级ACL限制服务器端口防攻击,网络拓扑图如图

(2)路由器的端口IP地址设置如表

(3)计算机的IP地址、子网掩码和默认网关如表

(4)使用静态路由实现全网互通。

(5)配置高级访问控制列表,禁止天津分公司的销售部访问总公司的FTP服务器资源,允许天津分公司的销售部和技术部访问总公司的Web等公开信息资源,而除此之外对服务器的其他访问均被限制。

知识准备

       高级ACL可以根据IP报文的源IP地址、IP报文的目的IP地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源端口号、TCP 报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。基本ACL的功能只是高级ACL功能的一个子集,高级ACL可定义出更精准、更复杂、更灵活的规则。   高级ACL中规则的配置比基本ACL中规则的配置复杂得多,且配置命令的格式也会因IP报文的载荷数据类型的不同而不同。例如,针对ICMP报文、TCP报文、UDP报文等不同类型的报文,其相应的配置命令的格式也是不同的。高级ACL的编号范围为3000~3999。

任务实施

据如图所示的网络拓扑图,连线全部使用直通线、开启所有设备电源和为每一台计算机设置好相应的IP地址、子网掩码和默认网关。

路由器R1基本配置

路由器R2的基本配置。

配置静态路由实现全网互通。

(1)在路由器R1上配置。

(2)在路由器R2上配置。

配置高级访问控制列表。

查看访问控制列表信息。

应用访问控制列表在端口上。

配置Server1服务器的FtpServer和HttpServer。

(1)配置FtpServer服务器。 在Server1上单击鼠标右键,在弹出的快捷菜单中选择“服务器信息”选项,打开设置对话框选择“FtpServer”中的“配置”,进行文件根目录的添加,这里选择“C:\”,最后选择“启动”按钮,如图

(2)配置HttpServer服务器。 在Server1上单击鼠标右键,在弹出的快捷菜单中选择“服务器信息”选项,打开设置对话框选择“HttpServer”中的“配置”,进行文件根目录的添加,这里选择“C:\Http\index.htm”(需提前创建好),最后选择“启动”按钮,如图所示。

任务验收

在销售部Sales上访问Web服务器是可以正常访问的,如图

在销售部Sales上测试FTP是无法常访问的,如图

查看访问控制列表的应用状态。

任务小结

(1)高级访问控制列表要应用在尽量靠近源地址的端口。

(2)要注意允许某个网段后,要拒绝其他网段。

(3)对FTP而言,必须制定ftp(21)和ftp-data(20)。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com