首先,访问控制是通过数据包的源ip地址、源端口、目的IP地址、目的端口以及生效时间来实现的。这样做可以精确地控制局域网内主机的网络访问权限,从而保护网络安全。
在访问控制中,有一个默认策略,那就是“允许”。简单来说,就是如果数据包不符合任何拒绝规则,就允许它通过。当然,我们也可以自定义策略,实现更精确的控制。
访问控制中的IP地址和掩码也是非常重要的概念。单个IP通常使用“/32”掩码标识,表示这个IP地址独立存在;而所有IP则使用“0.0.0.0/32”标识,表示所有IP地址。
在访问控制策略中,源地址和目的地址都是采用“IP+掩码”的方式表示的。设置时,需要将IP地址段转换为“IP地址+子网掩码”方式。
此外,访问控制策略具有方向性。在设置允许访问的策略时,我们需要考虑发出以及返回的数据是否都可以通过。例如,如果我们允许主机A访问主机B的服务,那么主机B也需要允许主机A访问其服务。
接下来,我们来看一个例子。假设局域网中有三台主机A、B、C。主机A开放其所有端口,不受限制;主机B仅允许收发电子邮件,开放“53”、“25”与“110”端口;主机C仅允许浏览网页,开放“53”与“80”端口。其余主机所有服务均禁止。
在设置访问控制策略时,我们需要为每个主机设置相应的规则。例如,主机A可以开放所有端口;主机B需要开放“53”、“25”与“110”端口;主机C需要开放“53”与“80”端口。而对于那些未被开放的端口,我们需要设置规则禁止它们。
在设置访问控制策略时,还需要注意生效接口域的选择。ER访问控制为双向检测,具有方向性。因此,在设置内网到外网的策略时,应选择“LAN”作为生效接口域;在外网到内网的策略时,应选择“WAN”。
最后,访问控制缺省策略为“允许”,这意味着如果不添加其他规则,所有未被明确拒绝的服务都可以访问。因此,如果我们想要禁止其他服务,需要添加相应的规则来实现。
总之,访问控制是确保网络安全的重要手段。通过合理设置访问控制策略,可以有效地控制局域网内主机的网络访问权限,保护网络安全。
访问控制通过数据包的源IP地址、源端口、目的IP地址、目的端口以及生效时间来控制局域网内的主机对外网的访问权限。
1、访问控制默认策略为“允许”,即“不符合规则的允许通过”。
2、单个IP使用掩码“/32”标识,所有IP使用“0.0.0.0/32”标识。
3、源地址与目的地址均采用“IP+掩码”的方式表示,设置时需要将IP地址段转换为“IP地址+子网掩码”方式。
4、控制策略具有方向性,设置允许访问的策略时需考虑发出以及返回的数据是否均可以通过。
例:局域网主机A“192.168.1.10”不受限制,主机B“192.168.1.11”仅允许收发电子邮件,主机C“192.168.1.12”仅允许浏览网页,其余主机所有服务全部禁止。
【分析】:主机A开放其所有端口,主机B仅开放“53”、“25”与“110”端口,主机C仅开放其“53”与“80”端口,其余主机均禁止。
【设置】:
1、 开放所有IP的“53”端口。
生效接口域:ER访问控制为双向检测,即具有方向性,设置内网到外网的策略,则生效接口域应选择“LAN”,外网到内网的策略,生效接口域应选择“WAN”。
注意:必须选择正确的生效接口域,否则所设置规则将不生效。
2、开放主机“192.168.1.10”的所有服务。
3、开放主机“192.168.1.11”收发电子邮件权限
4、开放主机“192.168.1.12”浏览网页权限
5、访问控制缺省策略为“允许”,所以需要再添加一条规则禁止其他服务
规则完成如下图:
