【文件属性】：
文件名称：外网扩展访问控制列表-iec 61375-2-3-2015
文件大小：2.03MB
文件格式：PDF
更新时间：2021-06-15 09:15:18
网络工程设计 系统集成 图 8.5 企业网络信息中心拓扑结构图 使用路由器保护网络边界的安全，以及保护 WWW 服务器的安全的技术路 线如下： （1） 外网扩展访问控制列表 为了防止黑客或网络病毒攻击位于DMZ的服务器和内网主机的敏感端口， 在边界路由器设置第一道安全屏障。假设外网 WWW 服务器的 IP 地址为 218.208.160.3，E-mail 服务器的 IP 地址为 218.208.160.2。边界路由器连接外网 接口的扩展访问控制列表配置如下： /*仅允许 DMZ 区服务器的匿名端口开放，R(config)#表示路由器 R 的全局 配置模式*/ R(config)#access-list 101 permit tcp any host 218.208.160.2 eq pop3 R(config)#access-list 101 permit tcp any host 218.208.160.2 eq smtp R(config)#access-list 101 permit tcp any host 218.208.160.2 eq www R(config)#access-list 101 permit tcp any host 218.208.160.3 eq www R(config)#access-list 101 deny ip any host 218.208.160.2 R(config)#access-list 101 deny ip any host 218.208.160.3 /*禁止外网病毒、特洛伊木马和蠕虫等，对内网主机敏感端口的攻击*/ R(config)#access-list 101 deny icmp any any echo R(config)#access-list 101 deny tcp any any eq 4444 R(config)#access-list 101 deny udp any any eq tftp R(config)#access-list 101 deny udp any any eq 1434