如何禁止外網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器

如何禁止外網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器？

對(duì)于企業(yè)網(wǎng)絡(luò)，經(jīng)常會(huì)用到訪問(wèn)控制，例如限制員工的上網(wǎng)時(shí)間？或如何控制各部門(mén)之間的網(wǎng)絡(luò)互通等等，在實(shí)際企業(yè)網(wǎng)絡(luò)項(xiàng)目中經(jīng)常會(huì)遇到，這里面我們就可以用到ACL訪問(wèn)列表控制了，本期我們一起來(lái)看下，如何利用ACL禁止外網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器。

一、什么是ACL？

首先我們來(lái)了解下ACL，ACL即訪問(wèn)控制列表，那么它有什么作用呢？

(ACL)訪問(wèn)控制列表是一種基于濾的訪問(wèn)控制技術(shù)，它可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過(guò)濾，允許其通過(guò)或丟棄。

訪問(wèn)控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī)，借助于訪問(wèn)控制列表，可以有效地控制用戶(hù)對(duì)網(wǎng)絡(luò)的訪問(wèn)，從而地保障網(wǎng)絡(luò)安全。

例如：

為了某部門(mén)的保密性，不允許其訪問(wèn)外網(wǎng)，也不允許外網(wǎng)訪問(wèn)它，就可以通過(guò)ACL實(shí)現(xiàn)。那么我們來(lái)看下實(shí)例，如何利用ACL實(shí)現(xiàn)禁止外網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器。

二、ACL禁止外網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器

幾乎大部分公司都有自己內(nèi)部服務(wù)器，里面有一些公司保密性的內(nèi)容，只供內(nèi)部員工進(jìn)入，禁止外部網(wǎng)絡(luò)訪問(wèn)，大部分公司都會(huì)做這樣的限制，我們來(lái)看下這個(gè)華為的實(shí)例。

一、實(shí)例要求

某公司通過(guò)交換機(jī)實(shí)現(xiàn)各部門(mén)之間的互連。要求只允許公司內(nèi)網(wǎng)用戶(hù)可以訪問(wèn)內(nèi)網(wǎng)中的財(cái)務(wù)服務(wù)器，外網(wǎng)用戶(hù)不允許訪問(wèn)。

二、配置步驟

1、配置接口加入VLAN，并配置VLANIF接口的IP地址

# 將GE1/0/1～GE1/0/3分別加入VLAN10、20、30，這三個(gè)vlan中，也就是給公司三個(gè)部門(mén)各分配一個(gè)vlan。

GE2/0/1加入VLAN100，并配置各VLANIF接口的IP地址，也就是內(nèi)網(wǎng)財(cái)務(wù)服務(wù)器的端口單獨(dú)加一個(gè)vlan。

下面配置以GE1/0/1和VLANIF 10接口

下面配置以GE1/0/2和VLANIF 20接口

下面配置以GE1/0/3和VLANIF30接口

下面配置以GE2/0/1和VLANIF100接口

那么所有的部分對(duì)應(yīng)的接口都已經(jīng)配置完了。

這里面說(shuō)下VLAN與VLANIF的區(qū)別：

通俗的說(shuō)，vlan就是一個(gè)二層的接口。

VLANIF就是創(chuàng)建三層接口，可以在上面配置IP的，上面的例子就配置了ip，通常這個(gè)接口地址作為vlan下面用戶(hù)的網(wǎng)關(guān)。

2、配置ACL

# 創(chuàng)建高級(jí)ACL 3002并配置ACL規(guī)則，允許位于內(nèi)網(wǎng)的總裁辦公室、市場(chǎng)部和研發(fā)部訪問(wèn)財(cái)務(wù)服務(wù)器的報(bào)文通過(guò)，拒絕外網(wǎng)用戶(hù)訪問(wèn)財(cái)務(wù)服務(wù)器的報(bào)文通過(guò)。

3、配置基于ACL的流分類(lèi)

# 配置流分類(lèi)c_network，對(duì)匹配ACL 3002的報(bào)文進(jìn)行分類(lèi)。

4、配置流行為

# 配置流行為b_network，動(dòng)作為允許報(bào)文通過(guò)（缺省值，不需配置

5、配置流策略

# 配置流策略p_network，將流分類(lèi)c_network與流行為b_network關(guān)聯(lián)。

6、應(yīng)用流策略

# 由于內(nèi)外網(wǎng)訪問(wèn)服務(wù)器的流量均從接口GE2/0/1出口流向服務(wù)器，所以可以在GE2/0/1接口的出方向應(yīng)用流策略p_network。