【文件属性】:
文件名称:外网扩展访问控制列表-iec 61375-2-3-2015
文件大小:2.03MB
文件格式:PDF
更新时间:2021-06-15 09:15:18
网络工程设计 系统集成
图 8.5 企业网络信息中心拓扑结构图
使用路由器保护网络边界的安全,以及保护 WWW 服务器的安全的技术路
线如下:
(1) 外网扩展访问控制列表
为了防止黑客或网络病毒攻击位于DMZ的服务器和内网主机的敏感端口,
在边界路由器设置第一道安全屏障。假设外网 WWW 服务器的 IP 地址为
218.208.160.3,E-mail 服务器的 IP 地址为 218.208.160.2。边界路由器连接外网
接口的扩展访问控制列表配置如下:
/*仅允许 DMZ 区服务器的匿名端口开放,R(config)#表示路由器 R 的全局
配置模式*/
R(config)#access-list 101 permit tcp any host 218.208.160.2 eq pop3
R(config)#access-list 101 permit tcp any host 218.208.160.2 eq smtp
R(config)#access-list 101 permit tcp any host 218.208.160.2 eq www
R(config)#access-list 101 permit tcp any host 218.208.160.3 eq www
R(config)#access-list 101 deny ip any host 218.208.160.2
R(config)#access-list 101 deny ip any host 218.208.160.3
/*禁止外网病毒、特洛伊木马和蠕虫等,对内网主机敏感端口的攻击*/
R(config)#access-list 101 deny icmp any any echo
R(config)#access-list 101 deny tcp any any eq 4444
R(config)#access-list 101 deny udp any any eq tftp
R(config)#access-list 101 deny udp any any eq 1434