您现在的位置是:主页 > 网络技术 >
一步步教你如何禁止外网访问公司内网服务器
对于企业网络,经常会用到访问控制,例如限制员工的上网时间?或如何控制各部门之间的网络互通等等,在实际企业网络项目中经常会遇到,这里面我们就可以用到ACL访问列表控制了,本期我们一起来看下,如何利用ACL禁止外网访问公司内网服务器。
一、什么是ACL?
首先我们来了解下ACL,ACL即访问控制列表,那么它有什么作用呢?
(ACL)访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
例如:
为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。那么我们来看下实例,如何利用ACL实现禁止外网访问公司内网服务器。
二、ACL禁止外网访问公司内网服务器
几乎大部分公司都有自己内部服务器,里面有一些公司保密性的内容,只供内部员工进入,禁止外部网络访问,大部分公司都会做这样的限制,我们来看下这个华为的实例。
一、实例要求
某公司通过交换机实现各部门之间的互连。要求只允许公司内网用户可以访问内网中的财务服务器,外网用户不允许访问。
二、配置步骤
1、配置接口加入VLAN,并配置VLANIF接口的IP地址
# 将GE1/0/1~GE1/0/3分别加入VLAN10、20、30,这三个vlan中,也就是给公司三个部门各分配一个vlan。
GE2/0/1加入VLAN100,并配置各VLANIF接口的IP地址,也就是内网财务服务器的端口单独加一个vlan
下面配置以GE1/0/1和VLANIF 10接口
下面配置以GE1/0/2和VLANIF 20接口
下面配置以GE1/0/3和VLANIF30接口
下面配置以GE2/0/1和VLANIF100接口
那么所有的部分对应的接口都已经配置完了。
这里面说下VLAN与VLANIF的区别:
通俗的说,vlan就是一个二层的接口。
VLANIF就是创建三层接口,可以在上面配置IP的,上面的例子就配置了ip,通常这个接口地址作为vlan下面用户的网关。
2、配置ACL
# 创建高级ACL 3002并配置ACL规则,允许位于内网的总裁办公室、市场部和研发部访问财务服务器的报文通过,拒绝外网用户访问财务服务器的报文通过。
3、配置基于ACL的流分类
# 配置流分类c_network,对匹配ACL 3002的报文进行分类。
4、配置流行为
# 配置流行为b_network,动作为允许报文通过(缺省值,不需配置)。
5、配置流策略
# 配置流策略p_network,将流分类c_network与流行为b_network关联。
6、应用流策略
# 由于内外网访问服务器的流量均从接口GE2/0/1出口流向服务器,所以可以在GE2/0/1接口的出方向应用流策略p_network。
随机图文
-
财政部令第110号 --《政府采购框架协议采购方式管理暂行办法》发布
《政府采购框架协议采购方式管理暂行办法》已经2021年12月31日部务会议审议通过,现予公布,自2022年3月1日起施行。 部 长 刘昆 2022年1月14日 第一章 总则 第一条 为了规范多频次、 -
你会检查标书吗,品至教你一个妙招!
1、投标书格式、标段、里程是否与招标文件规定相符;建设单位名称与招标单位名称是否正确。 2、报价金额是否与“投标报价汇总表合计”、“投标报价汇总表”、“综合报价表”一致,大小写是否一致,国际标中中英文标书报价金额是否一致。 3、投标书中的工期是否满足招标文件的要求。 4、投标书是否按照要求盖公章。 -
攻击中国研发“脑控武器”,美国制裁12家中国科研机构
(观察者网讯)声称中国正在研发“脑控”武器,美国对华无理打压甚至蔓延到了生物技术领域。 当地时间12月16日,美国商务部的产业安全局(BIS)发布最终裁定,将中国军事医学科学院等25家中国实体列入“实体清单”,声称中国正在利用新兴的生物技术,开发未来的军事应用,其中包括“基因编辑、人体性能增强和脑机接口”。 《金融时报》报道截图:美国指责中 -
电工如何学习电路图的各种代号
重点一:项目代号的作用是什么? 其实项目代号的作用主要是用来进行识别系统图,原理图的,并且提供上下级关系, 种类,位置等信息的一种代号。项目代号一般是以一个系统,成套装置,以及设备 来依次理解。因此我们可以用于识别,查找电气图中的所有电气元器件,装置和设 备的关系和安装位置。 知识点一:项目代号的组成