【文件属性】:
文件名称:内网扩展访问控制列表-iec 61375-2-3-2015
文件大小:2.03MB
文件格式:PDF
更新时间:2021-06-15 09:15:18
网络工程设计 系统集成
(2)内网扩展访问控制列表
为了防止内网用户攻击或网络病毒攻击内网服务器和主机的敏感端口,在
三层交换机设置第二道安全屏障。假设内网 OA 服务器(Web 服务)的 IP 地址
为 192.168.1.4,ERP 服务器(Web 服务)的 IP 地址为 192.168.1.5。Vlan10 的
IP 地址为 192.168.1.0~192.168.1.127,掩码 255.255.255.128,网关 192.168.1.1;
Vlan20 的 IP 地址为 192.168.2.0~192.168.2.127,掩码 255.255.255.128,网关
192.168.2.1;……。
内网三层交换机 RS 的路由模块的扩展访问控制列表配置如下:
/*仅允许内网服务器的匿名端口开放, RS(config)#表示三层交换机 RS 的全
局配置模式*/
RS(config)# access-list 102 permit tcp any host 192.168.1.4 eq www
RS(config)#access-list 102 permit tcp any host 192.168.1.5 eq www
RS(config)#access-list 102 deny ip any host 192.168.1.4
access-list 102 deny ip any host 192.168.1.5
/*禁止内网病毒、特洛伊木马和蠕虫等,对服务器、主机敏感端口的攻击
*/
RS(config)#access-list 102 deny icmp any any echo
RS(config)#access-list 102 deny tcp any any eq 4444
RS(config)#access-list 102 deny udp any any eq tftp
RS(config)#access-list 102 deny udp any any eq 1434
RS(config)#access-list 102 deny tcp any any eq 445