安全典型配置(三)使用ACL禁止特定用户上网案例

news2024/12/23 9:39:42

【微|信|公|众|号:厦门微思网络】  

安全典型配置(一)使用ACL限制FTP访问权限案例_厦门微思网络的博客-CSDN博客本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。https://blog.csdn.net/XMWS_IT/article/details/133700430?spm=1001.2014.3001.5501

安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限_厦门微思网络的博客-CSDN博客访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。https://xmws-it.blog.csdn.net/article/details/133791003?spm=1001.2014.3001.5502

ACL简介

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。二层ACL根据以太网帧头信息来定义规则,如源MAC地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。与基本ACL和高级ACL相比,这两类ACL基于三层、四层信息进行报文过滤,而二层ACL基于二层信息进行报文过滤。例如,当希望对不同MAC地址、不同VLAN的报文进行过滤时,则可以配置二层ACL。

本例,就是将二层ACL应用在流策略模块,使设备可以对特定MAC地址的用户的报文进行过滤,达到禁止该用户上网的目的。

配置注意事项

本举例适用于S系列交换机所有产品的所有版本。

组网需求

如图1所示,Switch作为网关设备,下挂用户PC,与各个子网之间路由可达。管理员发现PC1(MAC地址xxxx-xxxx-xxx1)用户是非法用户,要求禁止该用户上网。

图片

图1 使用二层ACL禁止特定用户上网示例组网图

配置思路

采用如下的思路在Switch上进行配置:

  1. 配置二层ACL和基于ACL的流分类,使设备对MAC地址为xxxx-xxxx-xxx1的报文进行过滤,从而禁止该地址对应的用户上网。

  2. 配置流行为,拒绝匹配上ACL的报文通过。

  3. 配置并应用流策略,使ACL和流行为生效。

操作步骤

1、配置ACL

# 配置符合要求的二层ACL。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] acl 4000
[Switch-acl-L2-4000] rule deny source-mac xxxx-xxxx-xxx1 ffff-ffff-ffff  //禁止源MAC地址是xxxx-xxxx-xxx1的报文通过
[Switch-acl-L2-4000] quit

2、配置基于ACL的流分类

# 配置流分类tc1,对匹配ACL 4000的报文进行分类。

[Switch] traffic classifier tc1  //创建流分类
[Switch-classifier-tc1] if-match acl 4000  //将ACL与流分类关联
[Switch-classifier-tc1] quit

3、配置流行为

# 配置流行为tb1,动作为拒绝报文通过。

[Switch] traffic behavior tb1  //创建流行为
[Switch-behavior-tb1] deny  //配置流行为动作为拒绝报文通过
[Switch-behavior-tb1] quit

4、配置流策略

# 配置流策略tp1,将流分类tc1与流行为tb1关联。

[Switch] traffic policy tp1  //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit

5、应用流策略

# 由于PC1的报文从GE2/0/1进入Switch并流向Internet,所以可以在接口GE2/0/1的入方向应用流策略tp1。

[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet2/0/1] quit

6、验证配置结果

# 查看ACL规则的配置信息。

[Switch] display acl 4000
L2 ACL 4000, 1 rule                                                             
Acl's step is 5                                                                 
 rule 5 deny source-mac xxxx-xxxx-xxx1 

# 查看流分类的配置信息。

[Switch] display traffic classifier user-defined
  User Defined Classifier Information:
   Classifier: tc1
    Precedence: 5
    Operator: OR
    Rule(s) : if-match acl 4000  
                                                                               
Total classifier number is 1         

# 查看流策略的配置信息。

[Switch] display traffic policy user-defined tp1
  User Defined Traffic Policy Information:                                      
  Policy: tp1                                                                   
   Classifier: tc1                                                              
    Operator: OR                                                                
     Behavior: tb1                                                              
      Deny  

# 查看流策略的应用信息。

[Switch] display traffic-policy applied-record
#                                                                                                                                   
-------------------------------------------------                                                                                   
  Policy Name:   tp1                                                                                                                
  Policy Index:  0                                                                                                                  
     Classifier:tc1     Behavior:tb1                                                                                                
-------------------------------------------------                                                                                   
 *interface GigabitEthernet2/0/1                                                                             
    traffic-policy tp1 inbound                                                                                                      
      slot 2    :  success                                                                                                          
-------------------------------------------------                                                                                   
  Policy total applied times: 1.                                                                                                    
# 

【微思网络www.xmws.cn,成立于2002年,专业培训21年,思科、华为、红帽、ORACLE、VMware等厂商认证及考试,以及其他认证PMP、CISP、ITIL等】 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1098345.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

VulnHub lazysysadmin

一、信息收集 1.nmap扫描开发端口 开放了&#xff1a;22、80、445 访问80端口&#xff0c;没有发现什么有价值的信息 2.扫描共享文件 enum4linux--扫描共享文件 使用&#xff1a; enum4linux 192.168.103.182windows访问共享文件 \\192.168.103.182\文件夹名称信息收集&…

YOLO目标检测——抽烟吸烟数据集【含对应voc、coco和yolo三种格式标签】

实际项目应用&#xff1a;公共场所监管、健康风险评估、戒烟干预数据集说明&#xff1a;YOLO目标检测数据集&#xff0c;真实场景的高质量图片数据&#xff0c;数据场景丰富。使用lableimg标注软件标注&#xff0c;标注框质量高&#xff0c;含voc(xml)、coco(json)和yolo(txt)三…

mask-R-CNN

前言 代码 论文 # Mask-rcnn 算法在 torch vision 中有直接实现&#xff0c;可以直接引用使用在自己的工作中。 import torchvision model torchvision.models.detection.maskrcnn_resnet50_fpn(weightsMaskRCNN_ResNet50_FPN_Weights.DEFAULT)Mask R-CNN&#xff08;Mask R…

uni-app实现拍照功能

直接些这样的组件代码 <template><view><button click"takePhoto">拍照</button><image :src"photoUrl" v-if"photoUrl" mode"aspectFit"></image></view> </template><script&g…

Web(3)网络扫描与window,Linux命令

NMAP各种选项的使用 三种情况修改IP地址总结&#xff1a; 1.为漏洞环境配ip地址 注&#xff1a;1.打开metasploitable后&#xff0c;用mafadmin/msfadmin登录后&#xff0c;重新设置密码&#xff0c;su root登录; 为此创建一个ip地址&#xff0c;命令&#xff1a;ifconfig et…

centos 7.9离线安装wget

1.下载安装包 登录到wget官网上下载最新的wget的rpm安装包到本地 http://mirrors.163.com/centos/7/os/x86_64/Packages/ 2.上传安装包到服务器 3.安装 rpm -ivh wget-1.14-18.el7_6.1.x86_64.rpm 4.查看版本 wget -V

智能测径仪数据采集系统 棒材产线智能化提升方向必备

棒材企业通过学习先进技术和进行技术交流&#xff0c;形成了建设智能化生产线的共识&#xff0c;然而棒材生产线目前存在数据采集效率低、物料跟踪难、质量管控弱、成品质量差、库区混乱、成本居高等问题。通过增加钢坯表面检测、钢坯无头焊接、控轧控冷、自动测径、高速冷床、…

C++DAY46

myWidget::myWidget(QWidget *parent): QWidget(parent) {this->resize(1280,720);this->setWindowTitle("300英雄");this->setWindowIcon(QIcon("D:/BaiduNetdiskDownload/孤独摇滚图标/1.png"));this->setStyleSheet("background-color…

AI电销机器人好不好用关键是什么?

影响AI电销机器人是否好用的两个因素分别是&#xff0c;识别系统以及线路。 有很多电销企业都想找一个好用的AI电销机器人&#xff0c;可是什么样的机器人才是好用的机器人呢?有哪些因素会影响AI电销机器人好不好用呢? 添加图片注释&#xff0c;不超过 140 字&#xff08;可选…

内存访问与栈

内存访问与栈 1 内存分段2 DS和[address]3 mov、add、sub指令形式4 栈4.1 入栈与出栈4.2 SS与SP4.3 空栈4.4 栈顶超界4.5 push、pop指令 5 小结 本文属于《 X86指令基础系列教程》之一&#xff0c;欢迎查看其它文章。 1 内存分段 在x86程序执行时&#xff0c;内存会被分段&am…

微信小程序的框架

目录 一、视图层 1. WXML 数据绑定 列表渲染 条件渲染 模板 2. WXSS 尺寸单位 样式导入 内联样式 选择器 3. WXS事件 二、逻辑层 1. 页面生命周期 2.跳转 1. 一级跳一级 2. 一级跳二级 3. 二级跳二级 4. 二级跳一级 总结 带给我们的收获 一、视图层 1. …

竞赛 深度学习YOLOv5车辆颜色识别检测 - python opencv

文章目录 1 前言2 实现效果3 CNN卷积神经网络4 Yolov56 数据集处理及模型训练5 最后 1 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 &#x1f6a9; **基于深度学习YOLOv5车辆颜色识别检测 ** 该项目较为新颖&#xff0c;适合作为竞赛课题方向&#xff0…

微信小程序使用阿里巴巴iconfont,报错Failed to load font http://at.alicdn.com/t/..........

介绍 上篇文章&#xff0c;介绍了&#xff0c;在微信小程序里导入并使用阿里巴巴iconfont图标&#xff1b;但是在页面里使用后&#xff0c;可以看到后台日志有打印错误信息&#xff0c;具体报错如下&#xff1a; 分析 报这个错&#xff0c;是因为项目里使用了 iconfont字体…

OpenCV15-图像边缘检测:Sobel、Scharr、Laplace、Canny

OpenCV15-图像边缘检测&#xff1a;Sobel、Scharr、Laplace、Canny 1.边缘检测原理2.Sobel算子3.Scharr算子4.生成边缘检测滤波器5.Laplacian算子6.Canny算法 1.边缘检测原理 图像的边缘指的是图像中像素灰度值突然发生变化的区域&#xff0c;如果将图像中的每一行像素和每一列…

功能集成,不占空间,同为科技TOWE嵌入式桌面PDU超级插座

随着现代社会人们生活水平的不断提高&#xff0c;消费者对生活质量有着越来越高的期望。生活中&#xff0c;各式各样的电气设备为我们的生活带来了便利&#xff0c;在安装使用这些用电器时&#xff0c;需要考虑电源插排插座的选择。传统的插排插座设计多暴露于空间之中&#xf…

直播美颜技术的技术背后:美颜SDK的原理与实践

对于美颜美颜SDK来说大家都不会陌生&#xff0c;通过它&#xff0c;我们能够实现实时美颜效果&#xff0c;改善视频质量&#xff0c;吸引更多观众。 一、美颜SDK是什么&#xff1f; 美颜SDK为开发者提供了一整套美颜和图像处理功能&#xff0c;用于实时处理直播视频流。这个工…

Android USB分析

先下一个定论&#xff0c;常规来讲&#xff0c;所有作slave的android设备都是配件&#xff0c;作为主机的android设备还是叫Host。此外还有usb tethering支持的radnis功能以及ncm功能&#xff0c;这两个是网络相关的usb应用&#xff0c;使用usb模拟网卡。其中radnis属于上网能力…

如何减轻软件测试的时间压力?6大注意事项

软件测试处于软件研发流程的下游。如果上游的项目进度延迟&#xff0c;往往会遇到通过压缩测试时间来按时交付的情况。 因此软件测试人员经常遇到时间压力&#xff0c;可能会为了赶时间草率测试&#xff0c;导致测试人员无法充分地测试所有功能和场景&#xff0c;影响测试的覆盖…

如何制作有专业水准的的电子杂志:专家教你秘籍

​随着数字化时代的到来&#xff0c;电子杂志作为一种新型的传媒形式&#xff0c;越来越受到人们的关注和喜爱。但是&#xff0c;如何制作一份具有专业水准的电子杂志呢&#xff1f; 今天&#xff0c;给大家分享一款在线就能制作的电子杂志------FLBOOK&#xff0c;让你轻松打造…

【mac】常用命令01

1、如何像windows一样看磁盘&#xff1f; 不断的在上层文件夹显示&#xff0c;找到最上层&#xff0c;拖拽到左侧&#xff0c;方便之后找 2、Macintosh HD显示隐藏文件夹方法 终端窗口&#xff1a; defaults write com.apple.finder AppleShowAllFiles true killall Finder 或者…