安全典型配置(四)使用自反ACL实现单向访问控制案例

【微|信|公|众|号:厦门微思网络】  

安全典型配置(一)使用ACL限制FTP访问权限案例_厦门微思网络的博客-CSDN博客

安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限-CSDN博客

安全典型配置(三)使用ACL禁止特定用户上网案例-CSDN博客

使用自反ACL实现单向访问控制案例

自反ACL简介

自反ACL(Reflective ACL)是动态ACL技术的一种应用。设备根据一个方向的ACL,可以自动创建出一个反方向的ACL(自反ACL),该ACL和原ACL的源IP地址和目的IP地址、源端口号和目的端口号完全相反。自反ACL有一定的老化周期。如果在老化周期内有符合自反ACL规则的报文通过接口,该接口的自反ACL规则将再被保留至下一老化周期;如果在老化周期内没有符合自反ACL规则的报文通过接口,该接口的自反ACL规则被删除,这样大大增加了安全性。

利用自反ACL,可以实现单向访问控制,比如只有当内网用户先访问了外网后才允许外网访问内网,从而能够很好的保护企业内部网络,使其使免受外部非法用户的攻击。

本例,就是将高级ACL进行自反,实现内网主机能主动与Internet中的服务器建立UDP连接,但Internet中的服务器不能主动与内网主机建立UDP连接,达到内外网单向访问控制的目的。

配置注意事项

本举例适用于框式交换机的所有版本,不适用于盒式交换机。

组网需求

如图1所示,Switch作为网关设备,下挂用户PC并连接Internet,已知各设备之间路由可达。为保证内网环境安全,现要求Internet中的服务器只能在内网中的PC先向其发起UDP连接请求的情况下,才能与PC建立UDP连接,实现单向访问控制。

图片

图1 使用自反ACL实现单向访问控制组网图

配置思路

采用如下的思路在Switch上进行配置:

  1. 配置高级ACL,为后续设备生成自反ACL做准备。

  2. 配置自反ACL功能,实现内网主机PC1能主动与Internet中的服务器建立UDP连接,但Internet中的服务器不能主动与内网主机建立UDP连接。

操作步骤

1、配置高级ACL

创建高级ACL 3000并配置ACL规则,允许UDP报文通过。

<HUAWEI>system-view
[HUAWEI] sysname Switch
[Switch] acl 3000
[Switch-acl-adv-3000] rule permit udp  //允许UDP报文通过
[Switch-acl-adv-3000] quit

2、配置自反ACL

# 由于来自Internet的报文从接口GE2/0/1进入Switch,所以可以在接口GE2/0/1的出方向配置自反ACL功能,对UDP报文进行自反。

[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000  //自反ACL应用在接口出方向
[Switch-GigabitEthernet2/0/1] quit

3、验证配置结果

执行display traffic-reflect命令,查看自反ACL信息。

[Switch] display traffic-reflect outbound acl 3000
Proto  SP   DP   DIP             SIP             Count   Timeout  Interface
------------------------------------------------------------------------------
UDP    2    80   192.168.1.2       10.1.1.2       9       300(s)   GigabitEthernet2/0/1
------------------------------------------------------------------------------
* Total <1> flows accord with condition, <1> items was displayed.
------------------------------------------------------------------------------
* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff,
* SP=Source port,DP=Destination port,Count=Packets count(data).

上述显示信息,只有在内网主机主动向外网发起UDP连接时才会产生。由上述信息可知,GE2/0/1接口下对内网主机PC1与Internet中的Server(IP地址为192.168.1.2)之间的UDP协议报文进行了自反,并对自反后的报文进行了统计。

【微思网络www.xmws.cn,成立于2002年,专业培训21年,思科、华为、红帽、ORACLE、VMware等厂商认证及考试,以及其他认证PMP、CISP、ITIL等】  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/139660.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

什么是美颜SDK?解析主播直播美颜SDK的技术原理与应用

什么是美颜SDK?解析主播直播美颜SDK的技术原理与应用

当下&#xff0c;越来越多的主播和内容创作者依赖直播平台来与观众互动、分享内容和实时传达信息。然而&#xff0c;为了在激烈的竞争中脱颖而出&#xff0c;许多主播需要借助美颜技术来提高他们的外貌吸引力。这就引入了主播直播美颜SDK&#xff0c;一个结合了技术原理与应用的…
阅读更多...
人工智能(pytorch)搭建模型20-基于pytorch搭建文本生成视频的生成对抗网络,技术创新点介绍

人工智能(pytorch)搭建模型20-基于pytorch搭建文本生成视频的生成对抗网络,技术创新点介绍

大家好&#xff0c;我是微学AI&#xff0c;今天给大家介绍一下人工智能(pytorch)搭建模型20-基于pytorch搭建文本生成视频的生成对抗网络&#xff0c;技术创新点介绍&#xff0c;随着人工智能和深度学习技术的飞速发展&#xff0c;文本到视频生成已经成为计算机视觉领域中一个重…
阅读更多...
微信扫码跳转到小程序内部,浏览器扫码跳转到App 内部,如果手机上没有安装App ,跳转到下载页

微信扫码跳转到小程序内部,浏览器扫码跳转到App 内部,如果手机上没有安装App ,跳转到下载页

第一:微信扫普通二维码跳转到小程序 第一步:登录微信公众平台,左侧点击开发管理,点击开发设置,滑到最下边,找到扫普通链接二维码打开小程序,配置对应的二维码链接,注意要拿这个链接去生成二维码,这样微信扫码才能跳转到小程序内部,还有那个校验文件,让后台放到对应的文件夹下,…
阅读更多...
网络安全常见问题隐患及其应对措施

网络安全常见问题隐患及其应对措施

随着数字化时代的到来&#xff0c;网络安全已经成为组织和个人面临的严重挑战之一。网络攻击日益普及&#xff0c;黑客和不法分子不断寻找机会侵入系统、窃取敏感信息、破坏服务和网络基础设施。在这种情况下&#xff0c;了解网络安全的常见问题隐患以及如何应对它们至关重要。…
阅读更多...
关于python环境下的语音转文本,whisper或funASR

关于python环境下的语音转文本,whisper或funASR

因为前阵子&#xff0c;有需求要将语音转为文本再进行下一步操作。感觉这个技术也不算是什么新需求&#xff0c;但是一搜&#xff0c;都是大厂的api&#xff0c;或者是什么什么软件&#xff0c;由于想要免费的&#xff0c;同时也要嵌入在代码中&#xff0c;所以这些都不能用。、…
阅读更多...
混凝土和砖石设计:IES Quick Suite Crack

混凝土和砖石设计:IES Quick Suite Crack

工IES Quick Suite程师凭借快速产品取得成功&#xff1a;用于混凝土和砖石设计的四个独立工具。这些实用程序体积小&#xff0c;功能强大且速度极快。它们在检查现有结构或设计新结构方面具有许多共同的优点。 为了方便起见&#xff0c;这些产品捆绑在一个安装程序中。单独使用…
阅读更多...
Spring事件ApplicationEvent源码浅读

Spring事件ApplicationEvent源码浅读

文章目录 demo应用实现基于注解事件过滤异步事件监听 源码解读总结 ApplicationContext 中的事件处理是通过 ApplicationEvent 类和 ApplicationListener 接口提供的。如果将实现了 ApplicationListener 接口的 bean 部署到容器中&#xff0c;则每次将 ApplicationEvent 发布到…
阅读更多...
Http/https代理和抓包分析

Http/https代理和抓包分析

前言 最近工作需要部署http/https的代理&#xff0c;所以用squid部署了一下&#xff0c;重新回顾了一下http和https的代理知识。 HTTP代理 根据《HTTP 权威指南》如图&#xff1a; 这种情况下&#xff0c;对访问服务器而言&#xff0c;它会把代理当做客户端&#xff0c;完全…
阅读更多...
Jmeter测试添加凭证和导出压测结果

Jmeter测试添加凭证和导出压测结果

选中测试计划中的HTTP请求&#xff0c;右键-->添加配置元件-->HTTP信息头管理器&#xff0c;在窗口中添加 如果是post请求&#xff0c;还需在信息头管理器中添加Content-Type:application/json 导出聚合报告
阅读更多...
Rust-类型转换进阶

Rust-类型转换进阶

这篇文章收录于Rust 实战专栏。这个专栏中的相关代码来自于我开发的笔记系统。它启动于是2023年的9月14日。相关技术栈目前包括&#xff1a;Rust&#xff0c;Javascript。关注我&#xff0c;我会通过这个项目的开发给大家带来相关实战技术的分享。 关于Rust的类型转换&#xff…
阅读更多...
软设上午题错题知识点5

软设上午题错题知识点5

软设上午题错题知识点5 1、在ASP的内置对象中。能修改cookie中的值的是response&#xff0c;它还可以创建cookie&#xff0c;而request可以访问cookie中的参数。 2、抽象工厂&#xff08;AbstractFactory&#xff09;模式提供一个创建一系列相关或相互依赖对象的接口&#xf…
阅读更多...
基于阿基米德优化优化的BP神经网络(分类应用) - 附代码

基于阿基米德优化优化的BP神经网络(分类应用) - 附代码

基于阿基米德优化优化的BP神经网络&#xff08;分类应用&#xff09; - 附代码 文章目录 基于阿基米德优化优化的BP神经网络&#xff08;分类应用&#xff09; - 附代码1.鸢尾花iris数据介绍2.数据集整理3.阿基米德优化优化BP神经网络3.1 BP神经网络参数设置3.2 阿基米德优化算…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023