外网扩展访问控制列表-iec 61375-2-3-2015

时间:2024-07-05 03:01:58
【文件属性】:

文件名称:外网扩展访问控制列表-iec 61375-2-3-2015

文件大小:2.03MB

文件格式:PDF

更新时间:2024-07-05 03:01:58

网络工程设计 系统集成

图 8.5 企业网络信息中心拓扑结构图 使用路由器保护网络边界的安全,以及保护 WWW 服务器的安全的技术路 线如下: (1) 外网扩展访问控制列表 为了防止黑客或网络病毒攻击位于DMZ的服务器和内网主机的敏感端口, 在边界路由器设置第一道安全屏障。假设外网 WWW 服务器的 IP 地址为 218.208.160.3,E-mail 服务器的 IP 地址为 218.208.160.2。边界路由器连接外网 接口的扩展访问控制列表配置如下: /*仅允许 DMZ 区服务器的匿名端口开放,R(config)#表示路由器 R 的全局 配置模式*/ R(config)#access-list 101 permit tcp any host 218.208.160.2 eq pop3 R(config)#access-list 101 permit tcp any host 218.208.160.2 eq smtp R(config)#access-list 101 permit tcp any host 218.208.160.2 eq www R(config)#access-list 101 permit tcp any host 218.208.160.3 eq www R(config)#access-list 101 deny ip any host 218.208.160.2 R(config)#access-list 101 deny ip any host 218.208.160.3 /*禁止外网病毒、特洛伊木马和蠕虫等,对内网主机敏感端口的攻击*/ R(config)#access-list 101 deny icmp any any echo R(config)#access-list 101 deny tcp any any eq 4444 R(config)#access-list 101 deny udp any any eq tftp R(config)#access-list 101 deny udp any any eq 1434


网友评论