首页 理论教育 公司网络深度限制及其优化策略

公司网络深度限制及其优化策略

时间:2023-06-24 理论教育 版权反馈
【摘要】:学习目标·了解扩展访问控制列表的概念·了解标准和扩展ACL的区别·掌握扩展ACL的实现方法任务引言标准控制列表往往不能针对子网进行限制,这很难达到公司的实际要求。扩展ACL是细颗粒限制,使公司能对网络进行更深入的限制。但是,该部门中的服务器仍需给公司的所有人提供门户网站的访问。项目拓展企业A总公司要求只有在上班时间内才允许访问公司的门户网站,其他时间一律不允许访问。

公司网络深度限制及其优化策略

学习目标

·了解扩展访问控制列表的概念

·了解标准和扩展ACL的区别

·掌握扩展ACL的实现方法

任务引言

标准控制列表往往不能针对子网进行限制,这很难达到公司的实际要求。扩展访问控制列表则具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口。扩展ACL是细颗粒限制,使公司能对网络进行更深入的限制。

知识引入

ACL使用包过滤技术,在设备中读取数据包中的源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对数据包进行过滤。

在实施ACL的过程中,应当遵循如下三个基本原则:

①最小特权原则:只给受控对象完成任务的最小权限。

②最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。

③默认丢弃原则:在Cisco设备中,每个访问控制列表的最后一个隐藏规则为deny any any。

工作任务——配置扩展访问控制列表

【工作任务背景】

图3-7-1 扩展访问控制列表

企业A技术研究部的数据很重要,保密级别非常高。但是,该部门中的服务器仍需给公司的所有人提供门户网站的访问。即在不影响其他部门通信的情况下,该部门的计算机不能被其他部门访问,仅允许访问Server1的HTTP(TCP:80)和HTTPS(TCP:443)服务。拓扑图如图3-7-1所示。

【工作任务分析】

在部门交换机CenterSw1上配置扩展访问控制列表,并将其应用在接口的In方向,仅允许所有部门客户端能够访问SERVER1服务器的HTTP(TCP:80)和HTTPS(TCP:443)服务。详细的实验参数要求见表3-7-1。

表3-7-1 设备连接(www.xing528.com)

【任务实现】

1.根据标准访问控制列表实训,进行基础环境的设置,并移除VLAN30 SVI接口应用的Access-list 10规则。

2.PC2无论接入哪个交换机端口,均能登录访问Web服务器,同时也能够进行ping连通性测试,如图3-7-2和图3-7-3所示。

图3-7-2 初步W eb测试

图3-7-3 初步ping测试

3.在CenterSw1上创建扩展ACL,并应用到指定的接口。

4.把PC2连接到VLAN10的接口Fa0/1下,设置网络地址为“192.168.10.101”。使用ping访问Server1,无法通信;使用IE浏览器访问Server1上的Web站点,访问成功,如图3-7-4所示。

图3-7-4 客户端测试

问题探究

1.扩展ACL具体应用。

2.标准ACL与扩展ACL的区别。

知识拓展

基于时间的ACL功能类似于扩展ACL,但它允许根据时间执行访问控制。要使用基于时间的ACL,需要创建一个时间范围,指定一周和一天内的时段。可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身。

项目拓展

企业A总公司要求只有在上班时间内才允许访问公司的门户网站,其他时间一律不允许访问。利用时间ACL和扩展ACL实现。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈