首先,访问控制是基于数据包的源ip地址、源端口、目的IP地址、目的端口以及生效时间等因素来实现的。这意味着,当数据包在网络中传输时,访问控制设备会检查这些关键信息,以判断该数据包是否能够通过。
默认情况下,访问控制采用“允许”策略,即不符合规则的数据包默认允许通过。这样设置的原因是,为了在大多数情况下简化操作,减少不必要的限制。
在访问控制中,单个IP地址通常使用掩码“/32”进行标识,而所有IP地址则使用“0.0.0.0/32”进行标识。源地址与目的地址都采用“IP+掩码”的方式表示。在设置访问控制规则时,需要将IP地址段转换为“IP地址+子网掩码”的形式。
访问控制策略具有方向性,因此在设置允许访问的策略时,需要考虑发出和返回的数据是否都可以通过。例如,在允许主机访问外部服务器时,既要允许主机向服务器发送请求,也要允许服务器向主机返回响应。
以一个实际案例为例,局域网中有三台主机:A、B、C。主机A对所有服务都没有限制;主机B仅允许收发电子邮件;主机C仅允许浏览网页。其他主机则禁止所有服务。
为了实现上述访问控制策略,我们需要为每台主机设置相应的规则。具体操作如下:
1. 开放所有IP的“53”端口,用于处理DNS查询。 2. 为主机A开放所有服务。 3. 为主机B开放收发电子邮件权限。 4. 为主机C开放浏览网页权限。 5. 设置一条默认策略,禁止其他服务。
在设置访问控制规则时,需要注意生效接口域的选择。ER访问控制具有方向性,即内网到外网的策略生效接口域选择“LAN”,外网到内网的策略生效接口域选择“WAN”。选择错误的生效接口域会导致所设置规则不生效。
总之,访问控制是网络安全的重要保障。通过合理配置访问控制策略,可以有效地防止恶意攻击和非法访问,确保网络环境的安全稳定。在实际应用中,我们需要根据具体情况制定合适的访问控制规则,以达到最佳的安全效果。
访问控制通过数据包的源IP地址、源端口、目的IP地址、目的端口以及生效时间来控制局域网内的主机对外网的访问权限。
1、访问控制默认策略为“允许”,即“不符合规则的允许通过”。
2、单个IP使用掩码“/32”标识,所有IP使用“0.0.0.0/32”标识。
3、源地址与目的地址均采用“IP+掩码”的方式表示,设置时需要将IP地址段转换为“IP地址+子网掩码”方式。
4、控制策略具有方向性,设置允许访问的策略时需考虑发出以及返回的数据是否均可以通过。
例:局域网主机A“192.168.1.10”不受限制,主机B“192.168.1.11”仅允许收发电子邮件,主机C“192.168.1.12”仅允许浏览网页,其余主机所有服务全部禁止。
【分析】:主机A开放其所有端口,主机B仅开放“53”、“25”与“110”端口,主机C仅开放其“53”与“80”端口,其余主机均禁止。
【设置】:
1、 开放所有IP的“53”端口。
生效接口域:ER访问控制为双向检测,即具有方向性,设置内网到外网的策略,则生效接口域应选择“LAN”,外网到内网的策略,生效接口域应选择“WAN”。
注意:必须选择正确的生效接口域,否则所设置规则将不生效。
2、开放主机“192.168.1.10”的所有服务。
3、开放主机“192.168.1.11”收发电子邮件权限
4、开放主机“192.168.1.12”浏览网页权限
5、访问控制缺省策略为“允许”,所以需要再添加一条规则禁止其他服务
规则完成如下图:
