安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限

news2024/12/28 8:13:42

安全典型配置(一)使用ACL限制FTP访问权限案例_厦门微思网络的博客-CSDN博客本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。https://blog.csdn.net/XMWS_IT/article/details/133700430?spm=1001.2014.3001.5501

ACL简介

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。

本例,就是将高级ACL应用在流策略模块,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。

配置注意事项

本举例适用于S系列交换机所有产品的所有版本。

组网需求

如图1所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为10.164.9.9),总裁办公室不受限制,可以随时访问。

图片

图1 使用ACL限制用户在特定时间访问特定服务器的权限组网图

配置思路

采用如下的思路在Switch上进行配置:

  1. 配置时间段、高级ACL和基于ACL的流分类,使设备可以基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。

  2. 配置流行为,拒绝匹配上ACL的报文通过。

  3. 配置并应用流策略,使ACL和流行为生效。

操作步骤

1、配置接口加入VLAN,并配置VLANIF接口的IP地址 

# 将GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100,并配置各VLANIF接口的IP地址。下面配置以GE1/0/1和VLANIF 10接口为例,接口GE1/0/2、GE1/0/3和GE2/0/1的配置与GE1/0/1接口类似,接口VLANIF 20、VLANIF 30和VLANIF 100的配置与VLANIF 10接口类似,不再赘述。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 30 100
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.164.1.1 255.255.255.0
[Switch-Vlanif10] quit

2、配置时间段

配置8:00至17:30的周期时间段。

[Switch] time-range satime 8:00 to 17:30 working-day  //配置ACL生效时间段,该时间段是一个周期时间段

3、配置ACL

配置市场部门到工资查询服务器的访问规则。

[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime  //禁止市场部在satime指定的时间范围内访问工资查询服务器
[Switch-acl-adv-3002] quit

配置研发部门到工资查询服务器的访问规则。

[Switch] acl 3003
[Switch-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime  //禁止研发部在satime指定的时间范围内访问工资查询服务器
[Switch-acl-adv-3003] quit

4、配置基于ACL的流分类

配置流分类c_market,对匹配ACL 3002的报文进行分类。

[Switch] traffic classifier c_market  //创建流分类
[Switch-classifier-c_market] if-match acl 3002  //将ACL与流分类关联
[Switch-classifier-c_market] quit
# 配置流分类c_rd,对匹配ACL 3003的报文进行分类。
[Switch] traffic classifier c_rd  //创建流分类
[Switch-classifier-c_rd] if-match acl 3003  //将ACL与流分类关联
[Switch-classifier-c_rd] quit

5、配置流行为

配置流行为b_market,动作为拒绝报文通过。

[Switch] traffic behavior b_market  //创建流行为
[Switch-behavior-b_market] deny  //配置流行为动作为拒绝报文通过
[Switch-behavior-b_market] quit
# 配置流行为b_rd,动作为拒绝报文通过。
[Switch] traffic behavior b_rd  //创建流行为
[Switch-behavior-b_rd] deny  //配置流行为动作为拒绝报文通过
[Switch-behavior-b_rd] quit

6、配置流策略

配置流策略p_market,将流分类c_market与流行为b_market关联。

[Switch] traffic policy p_market  //创建流策略
[Switch-trafficpolicy-p_market] classifier c_market behavior b_market  //将流分类c_market与流行为b_market关联
[Switch-trafficpolicy-p_market] quit
# 配置流策略p_rd,将流分类c_rd与流行为b_rd关联。
[Switch] traffic policy p_rd  //创建流策略
[Switch-trafficpolicy-p_rd] classifier c_rd behavior b_rd  //将流分类c_rd与流行为b_rd关联
[Switch-trafficpolicy-p_rd] quit

7、应用流策略

由于市场部访问服务器的流量从接口GE1/0/2进入Switch,所以可以在GE1/0/2接口的入方向应用流策略p_market。

[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy p_market inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet1/0/2] quit
# 由于研发部访问服务器的流量从接口GE1/0/3进入Switch,所以在GE1/0/3接口的入方向应用流策略p_rd。
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] traffic-policy p_rd inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet1/0/3] quit

8、验证配置结果

查看ACL规则的配置信息。

[Switch] display acl all
 Total nonempty ACL number is 2
Advanced ACL 3002, 1 rule
Acl's step is 5
 rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active)
Advanced ACL 3003, 1 rule
Acl's step is 5
 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active) 

查看流分类的配置信息。

[Switch] display traffic classifier user-defined
  User Defined Classifier Information:
   Classifier: c_market
    Precedence: 5
    Operator: OR
    Rule(s) : if-match acl 3002
   Classifier: c_rd
    Precedence: 10
    Operator: OR
    Rule(s) : if-match acl 3003
Total classifier number is 2

查看流策略的配置信息。

[Switch] display traffic policy user-defined
  User Defined Traffic Policy Information:                                      
  Policy: p_market                                                              
   Classifier: c_market                                                         
    Operator: OR                                                                
     Behavior: b_market                                                         
      Deny                                                                      
                                                                                
  Policy: p_rd                                                                  
   Classifier: c_rd                                                             
    Operator: OR                                                                
     Behavior: b_rd                                                             
      Deny                                                                      

Total policy number is 2

查看流策略的应用信息。

[Switch] display traffic-policy applied-record
#                                                                                                                                   
-------------------------------------------------                                                                                   
  Policy Name:   p_market                                                                                                           
  Policy Index:  0                                                                                                                  
     Classifier:c_market     Behavior:b_market                                                                                      
-------------------------------------------------                                                                                   
 *interface GigabitEthernet1/0/2                          
    traffic-policy p_market inbound                                                                                                 
      slot 1    :  success                                                                                                          
-------------------------------------------------                                                                                   
  Policy total applied times: 1.                                                                                                    
#                                                                                                                                   
-------------------------------------------------                                                                                   
  Policy Name:   p_rd                                                                                                               
  Policy Index:  1                                                                                                                  
     Classifier:c_rd     Behavior:b_rd                                                                                              
-------------------------------------------------                                                                                   
 *interface GigabitEthernet1/0/3                                                                                                    
    traffic-policy p_rd inbound                                                                                                     
      slot 1    :  success                                                                                                          
-------------------------------------------------                                                                                   
  Policy total applied times: 1.                                                                                                    
# 

研发部门和市场部门在上班时间(8:00至17:30)无法访问工资查询服务器。

【微|信|公|众|号:厦门微思网络】

【微思网络www.xmws.cn,成立于2002年,专业培训21年,思科、华为、红帽、ORACLE、VMware等厂商认证及考试,以及其他认证PMP、CISP、ITIL等】 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1084349.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

day27--AJAX(bootstrap之modal,toast;接口文档的一些用法)

目录 Bootstrap之Modal&#xff1a; 显示和隐藏方法 通过自定义属性&#xff1a; 使用JS来控制弹框&#xff1a; Bootstrap之Toast&#xff1a; 接口文档一些用法&#xff1a; 删除图书&#xff1a; 图片上传&#xff1a; 图片上传步骤&#xff1a; 修改头像&#xff…

电脑技巧:推荐一款桌面整理神器TidyTabs

目录 1、软件简介 2、软件功能介绍 3、总结 1、软件简介 TidyTabs是一款Windows应用程序&#xff0c;它可以将多个打开的窗口整理成一个选项卡式的界面&#xff0c;使得用户可以更加方便地切换和管理不同的窗口。 TidyTabs可以将多个窗口整合到一个主窗口中&#xff0c;类似…

为什么C++11要搞出一个nullptr?nullptr存在的意义是是什么?

文章目录 1.NULL的定义2.C代码的二义性3.nullptr的出现4.总结 1.NULL的定义 NULL实际是一个宏 传统的C头文件(stddef.h)中对于NULL的定义 #ifndef NULL #ifdef __cplusplus #define NULL 0 #else #define NULL ((void *)0) #endif #endif代码含义 如果NULL没有被定义执行以下…

基于SpringBoot的导师双选系统设计与实现

目录 前言 一、技术栈 二、系统功能介绍 管理员功能实现 导师信息管理 导师选择统计报表 学员管理 导师功能实现 项目信息管理 项目提交管理 学员功能实现 导师信息管理 项目信息管理 指导项目查看 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言…

使用Java的GeoTools地理库计算某个点是否在多边形内,经纬度数组转换为wkt格式数据

前言 本章讲解使用Java的GeoTools地理库计算某个点是否在多边形内。 本章适用于后台服务的GIS电子围栏计算。 GeoTools介绍 GeoTools是开源的Java地理信息计算库。GeoServer地图引擎就是基于GeoTools库构建得地图服务,可以说非常强大。 官网地址:https://docs.geotools.or…

2023年【公路水运工程施工企业安全生产管理人员】考试题及公路水运工程施工企业安全生产管理人员操作证考试

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 公路水运工程施工企业安全生产管理人员考试题考前必练&#xff01;安全生产模拟考试一点通每个月更新公路水运工程施工企业安全生产管理人员操作证考试题目及答案&#xff01;多做几遍&#xff0c;其实通过公路水运工…

SpringBoot注解篇之@Resource与@Autowired

大家好&#xff0c;我是AK&#xff0c;最近在整理Java相关技术知识体系化&#xff1b;本篇主要介绍Resource 注解和 Autowired的区别以及使用&#xff0c;适合学习spring框架小伙伴了解学习。 目录 一、Resource与Autowired的区别二、Resource详解三、Autowired详解 一、Resour…

13SpringMVC中拦截器的配置(拦截规则)和多个拦截器的preHandle,postHandle执行顺序原理详解

拦截器 Servlet中的过滤器的实现及其原理,参考文章 配置一个拦截器 SpringMVC中请求的处理流程: 用户请求—>listener—>filter—>DispatcherServlet—>filter—>preHandle—>controller—>postHandle 第一步: 编写一个Java类实现HandlerInterceptor(…

基于SpringBoot的在线教育系统

目录 前言 一、技术栈 二、系统功能介绍 普通管理员管理 课程管理员管理 课程信息管理 用户信息管理 讲师信息管理 课程信息查看 讲师信息查看 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 随着信息技术在管理上越来越深入而广泛的应用&#xff0c…

EDUSRC-记一个SHELL捡漏

目录 ​编辑 Jenkins - println绕过到shell命令执行 语法 Jenkins未授权访问(捡漏失败) Jenkins捡漏 弱口令 脚本执行(println失败) CHATGPT调教绕过 hack渗透视频教程&#xff0c;扫码免费领 Jenkins - println绕过到shell命令执行 语法 org"China Education and…

【excel技巧】如何在Excel表格中添加选项按钮?

不知道大家是否会9遇到需要勾中选项的情况&#xff0c;我们可以在电子表格中制作出可以勾选、选中的选项按钮&#xff0c;今天我们一起学习一下设置方法。 首先&#xff0c;我们需要先在excel工具栏中添加一个功能模块&#xff1a;开发工具 依次点击excel中的文件 – 选项 –…

【问题思考总结】二次型和二次曲面的关系【常数项的改变对曲面的影响】【图文】

问题 今天做到一个题的时候发现&#xff0c;之前记的结论记错了&#xff0c;一个方程本来应该是双叶双曲面我记得&#xff0c;结果答案竟然是圆锥面&#xff0c;后来发现原因是常数项等于0或者不等于0的差别。因此&#xff0c;就这个问题我们来通过图文的方式探讨一下两种情况…

【广州华锐互动】VR建筑施工事故体验:提高工人安全意识和责任感

VR建筑施工事故体验的意义在于通过模拟真实场景和情况&#xff0c;帮助人们更好地理解建筑施工中的安全问题&#xff0c;并提供一种安全、有效的方式来学习和掌握安全技能。 建筑施工是一项高风险的工作&#xff0c;涉及各种复杂的工作环境和操作过程。在现实中&#xff0c;建筑…

剧院建筑三维可视化综合管控平台提高安全管理效率

随着数字孪生技术的高速发展&#xff0c;智慧楼宇也被提上日程&#xff0c;以往楼宇管理存在着设备故障排查困难、能源浪费与管理不足、安全性和风险高等问题&#xff0c;而智慧楼宇数字孪生可视化中控平台&#xff0c;打造智慧楼宇管理一张图&#xff0c;实现了智慧建筑和楼宇…

资深8年测试整理,接口测试必备-加密与签名,让你不再走弯路...

目录&#xff1a;导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结&#xff08;尾部小惊喜&#xff09; 前言 1、接口加密解密 …

四.镜头知识之放大倍率

四.镜头知识之放大倍率 文章目录 四.镜头知识之放大倍率4.0 前言4.1 镜头的光学放大倍率的计算方法4.2 显示器的电子放大倍率4.2.1 智能硬件产品的显示放大倍率计算案例 4.3 系统放大倍率4.4 智能硬件产品的系统放大倍率计算案例4.4 智能硬件产品的系统放大倍率计算案例 4.0 前…

成绩分析数据的重要性,老师们一定要看过来!

成绩分析数据在教育领域中具有重要性&#xff0c;对于教师们来说是一项必不可少的工具。下面将详细介绍成绩分析数据的重要性&#xff0c;并强调为什么老师们一定要关注和利用这些数据。 **1. 了解学生的学习情况** 成绩分析数据可以帮助教师全面了解学生的学习情况。通过分析…

Jenkins发布失败记录

Exception when publishing, exception message [Exec exit status not zero. Status [127]] 见链接&#xff1a;Jenkins发布时常见异常&#xff08;持续更新...&#xff09;_exception when publishing, exception message [exec_码农StayUp的博客-CSDN博客 The remote end hu…

mysql sql语句遍历树结构

mysqlsql语句遍历树结构 MySQL SQL语句遍历树结构实现步骤 理解树结构和遍历算法 在开始之前&#xff0c;我们首先需要了解什么是树结构以及如何遍历树结构。树结构是一种常用的数据结构&#xff0c;由各个节点和节点之间的关系构成。树结构的一个重要应用是表示具有层级关系…

winscope使用方法

Ubuntu下Android T的winscope工具使用方法 1. 在Android的项目源码中&#xff0c;prebuilts/misc/common/winscope目录下 直接使用chrome浏览器打开文件winscope.html 2. 可能会提示adb问题 进入目录development/tools/winscope/adb_proxy&#xff0c;有文件winscope_proxy.…