精华内容
下载资源
问答
  • 限制部分用户对一些设备FTP、SSH、VNC SERVER的访问。在奥运期间加强设备的安全性。 该交换机的ACL可以作用在端口的OUT 或 IN方向上。考虑到所做的ACL想对个别的接口连接设备起作用,所以将ACL应用到接口的出的...

        交换机为H3C S3600-28TP-SI。欲限制部分用户对一些设备FTP、SSH、VNC SERVER的访问。在奥运期间加强设备的安全性。

        该交换机的ACL可以作用在端口的OUT 或 IN方向上。考虑到所做的ACL想对个别的接口连接设备起作用,所以将ACL应用到接口的出的方向上。

        (1)首先定义ACL。

        acl number 3001

             rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp-data
             rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp    

            rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp-data
             rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp
             rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp-data
             rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp
             rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 22
             rule permit tcp source 10.65.252.0 0.0.0.128 destination-port eq 22
             rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 5901
             rule deny tcp destination-port eq ftp-data
             rule deny tcp destination-port eq ftp
             rule deny tcp destination-port eq 22
             rule deny tcp destination-port eq 5901

        (2)在接口上应用。

            packet-filter outbound ip-group 3001

        (3)显示接口上的应用

        [XJDZJ-WL-3628-01]dis cu int e1/0/5
        #
        interface Ethernet1/5

             packet-filter outbound ip-group 3001 rule 0
             packet-filter outbound ip-group 3001 rule 1
             packet-filter outbound ip-group 3001 rule 2
             packet-filter outbound ip-group 3001 rule 3
             packet-filter outbound ip-group 3001 rule 4
             packet-filter outbound ip-group 3001 rule 5
             packet-filter outbound ip-group 3001 rule 6
             packet-filter outbound ip-group 3001 rule 7
             packet-filter outbound ip-group 3001 rule 8
             packet-filter outbound ip-group 3001 rule 9
             packet-filter outbound ip-group 3001 rule 10
             packet-filter outbound ip-group 3001 rule 11
             packet-filter outbound ip-group 3001 rule 12

     

     

    展开全文
  • ACL(对访问FTP 等进行限制

    千次阅读 2019-12-12 18:28:33
    实验拓扑: 首先,完成全网互通配置,全网互通的前提下...答:通过观看题目,我们要针对PC2去往AR-2上的数据做一个拒绝,题目为对AR-2的Telnet和FTP 访问受限,所以我们要针对源地址(PC)去往AR的接口做限制。 首...

    实验拓扑:在这里插入图片描述
    首先,完成全网互通配置,全网互通的前提下进行ACL实验。
    全网互通这里不在进行讲解。
    首先我们完成第一步配置,
    问:PC-1可以ping通AR-2设备,对ar-2的Telnet和FTP 访问受限,访问AR-1不受限制
    答:通过观看题目,我们要针对PC2去往AR-2上的数据做一个拒绝,题目为对AR-2的Telnet和FTP 访问受限,所以我们要针对源地址(PC)去往AR的接口做限制。
    首先 我们查看一下AR-2的接口状态
    在这里插入图片描述
    说明我们要对AR-2的接口进行策略在这里插入图片描述
    发现我们已经对AR-2的所有接口都进行了测试,因为华为的ACL针对数据是默认允许的,所以我们不做下一动作。
    问 :PC2不可以PING通ar-2设备。ar-2可以ping通PC-2,对ar-2的Telnet和ftp访问受限,PC2仅可以ping通ar-1的网关地址。对ar-1的Telnet和FTP访问受限
    答:我们把它分为2个小问题,依次解决
    首先 PC2不可以PING通ar-2设备。ar-2可以ping通PC-2,对ar-2的Telnet和ftp访问受限
    办法:通过阅读,我的办法是,拒绝目的地址ar-2发往PC2的ping的回复包,或者PC2去往AR-2的请求包,实现PC不可以通信AR-2,但是AR-2却可以ping通PC2,因为数据包是有去有回的,所以我们把去的路和回来的路干掉其中一条就可以。对于ar-2的Telnet和ftp访问受限,我们也和上边一样拒接TCP传输的Telnet和FTP做限制就可以在这里插入图片描述
    规则41 拒绝源地址192.168.1.102的发往目标地址12.1.1.2的ping的请求包,规则42和43拒绝了源地址对目标网段12.1.1.2的Telnet和FTP服务。(注意,要把源地址去往AR-2上的所有接口全都拒绝掉,因为我懒就只拒绝了12.1.1.2,) ,因为我们前面没有挂接ACL ,所以虽然你写完了策略但是不挂在接口上是无法生效的,所以我们挂在接口上,接口上有俩个方向分别是inbound 和outbound 方向,一个为接口的入站方向,一个为接口的出站方向,那么针对此拓扑,我们挂在在AR-1的G0/0/0的入站方向,然后测试实验现象。
    在这里插入图片描述
    挂接完成,我们先看一下效果,在这里插入图片描述在这里插入图片描述
    完成需求,因为PC无法Telnet,所以这里不在演示,你可以换台路由器进行检测,
    第二个问题:PC2仅可以ping通ar-1的网关地址。对ar-1的Telnet和FTP访问受限
    办法:首先就是把去往所有目的(除AR-1的网关接口)的PING 的请求包拒接掉,对AR-1的Telnet和FTP访问受限,我们也针对源地址去往目标地址的Telnet和FTP拒绝掉.
    答: 拒绝PC2去往ar-1除网关外的接口的ping的请求包
    在这里插入图片描述对ar-1的Telnet和FTP访问受限,下面的配置没有对环回口1.1.1.1进行限制。
    在这里插入图片描述
    然后挂接预配置ACL
    在这里插入图片描述
    在预配置ACL的基础上做修改使得ar-2通过FTP顺利下载到ar-1的配置文件
    答:因为是AR-2ftp登录AR-1的,其次因为ACL的序列号按顺序匹配,匹配到本数据,就不会往下匹配。可以看到我们允许了AR-2的12.1.1.2 FTP 登录AR-1的12.1.1.1
    在这里插入图片描述
    开启FTP服务,随便设个用户和密码,然后FTP登录AR-1的12.1.1.1.下载AR-1.cfg的文件
    在这里插入图片描述
    思考: 第一问和第二问的ACL如何挂接可以做到最高效
    答: 网络设备的一个接口的一个方向同一时间只能挂接一个ACL编号,但是序列号不限制,可以看到我写了很多的序列号,但是都在ACL 3000的配置下。

    下附ACL参考配置
    在这里插入图片描述在这里插入图片描述

    展开全文
  • 要求1:PC0和PC1通过单臂路由访问 ...要求3:PC0不能访问服务器server0的ftp。 实验思路: 1.配置交换机SW1。 SW1(config)#vlan 2 【创建VLAN2】 SW1(config-vlan)#vlan 3 【创建VLAN3】 SW1(con...

    要求1:PC0和PC1通过单臂路由访问
    要求2:在R0上做动态NAT,地址池为222.1.1.3-222.1.1.9。使PC0和PC1能够访问服务器server0。
    要求3:PC0不能访问服务器server0的ftp。
    在这里插入图片描述
    实验思路:
    在这里插入图片描述在这里插入图片描述

    1.配置交换机SW1。
    SW1(config)#vlan 2 【创建VLAN2】
    SW1(config-vlan)#vlan 3 【创建VLAN3】
    SW1(config-vlan)#int f0/11
    SW1(config-if)#switchport access vlan 2 【将VLAN2与接口f0/11绑定】
    SW1(config-if)#int f0/12
    SW1(config-if)#switchport access vlan 3 【将VLAN3与接口f0/12绑定】
    SW1(config-if)#int f0/1
    SW1(config-if)#switchport mode trunk 【配置f0/1接口为trunk模式】【单臂路由必备】
    在这里插入图片描述
    2. 配置路由器地址。
    R0(config)#int g0/1.1
    R0(config-subif)#encapsulation dot1Q 2 【子接口开启802.1Q协议,所属VLAN2】
    R0(config-subif)#ip add 192.168.2.1 255.255.255.0 【配置主机PC0的网关】
    R0(config-subif)#int g0/1.2
    R0(config-subif)#en dot1q 3 【子接口开启802.1Q协议,所属VLAN3】
    R0(config-subif)#ip add 192.168.3.1 255.255.255.0
    R0(config-subif)#int g0/2
    R0(config-if)#ip add 222.1.1.1 255.255.255.0
    在这里插入图片描述
    3. 检测单臂路由。【私网可以互通】
    (1)主机PC0可以ping通网关192.168.2.1 。
    在这里插入图片描述
    (2)主机PC1可以ping通自己的网关192.168.3.1.
    在这里插入图片描述
    4. 配置路由器Router0默认路由,使公网互通。
    R0(config)#ip route 0.0.0.0 0.0.0.0 222.1.1.2 【默认路由】
    R0(config)#do ping 8.8.8.8 【ping公网服务器8.8.8.8,成功代表公网可以互通】
    在这里插入图片描述
    5. 配置路由器router0。
    【配置ACL策略,使PC0不能访问服务器server0的ftp。】
    R0(config)#access-list 101 deny tcp 192.168.2.2 0.0.0.255 8.8.8.8 0.0.0.255 eq ftp
    【配置ACL策略,使PC0和PC1允许通过,可以进行NAT转换。】
    R0(config)#access-list 101 permit ip any any
    【查看配置的access访问列表】
    R0(config)#do show access-list

    【 配置动态NAT的地址池,起始地址222.1.1.3,末尾地址222.1.1.9】
    R0(config)#ip nat pool poola 222.1.1.3 222.1.1.9 netmask 255.255.255.0
    【将NAT地址池与ACL绑定】
    R0(config)#ip nat inside source list 101 pool poola

    【进入外网接口g0/2】
    R0(config)#int g0/2
    【将NAT应用到接口上】
    R0(config-if)#ip nat outside

    【进入内网子接口g0/1.1】
    R0(config-if)#int g0/1.1
    【将NAT应用到接口上】
    R0(config-subif)#ip nat inside

    【进入内网子接口g0/1.2】
    R0(config-subif)#int g0/1.2
    【将NAT应用到接口上】
    R0(config-subif)#ip nat inside
    在这里插入图片描述
    6. 检测NAT。
    (1)主机PC0可以访问公网服务器server0。【NAT配置正确】
    在这里插入图片描述
    (2)主机PC1可以访问公网服务器server0。【NAT配置正确】
    在这里插入图片描述
    (3)主机PC0不能ftp到服务器。【配置ACL限制成功】
    在这里插入图片描述
    (4)主机PC1能ftp到服务器。
    在这里插入图片描述

    展开全文
  • 给交换机的telnet ftp等配置白名单,限制非法登入。 启用Telnet服务 <HUAWEI> system-view [HUAWEI] sysname Telnet_Server [Nxera-YC] telnet server enable 配置VTY用户界面的最大个数。 [Nxera-YC]...

    给交换机的telnet  ftp等配置白名单,限制非法登入。

     

    启用Telnet服务

    <HUAWEI> system-view
    [HUAWEI] sysname Nxera-YC
    [Nxera-YC] telnet server enable

    配置VTY用户界面的最大个数。

    [Nxera-YC] user-interface maximum-vty 15

    配置允许用户登录设备的主机地址。

    [Nxera-YC] acl name telnetwhilte 2999
    [Nxera-YC-acl-basic-telnetwhilte] description telnet_whilte
    [Nxera-YC-acl-basic-telnetwhilte] rule 10 permit source 192.168.0.0 0.0.0.255
    [Nxera-YC-acl-basic-telnetwhilte] rule 15 permit source 192.168.168.0 0.0.0.255
    [Nxera-YC-acl-basic-telnetwhilte] rule 20 deny any
    [Nxera-YC] user-interface vty 0 14
    [Nxera-YC-ui-vty0-4] protocol inbound telnet
    [Nxera-YC-ui-vty0-4] acl 2999 inbound

     

    配置VTY用户界面的用户验证方式。

    [Nxera-YC-ui-vty0-14] authentication-mode aaa
    [Nxera-YC-ui-vty0-14] quit
    [Nxera-YC] aaa
    [Nxera-YC-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
    [Nxera-YC-aaa] local-user admin1234 service-type telnet
    [Nxera-YC-aaa] local-user admin1234 privilege level 3
    [Nxera-YC-aaa] quit

     

    SNMP漏洞规避措施配置

    • 1.      华为设备默认关闭SNMP功能;不建议使用本地用户,可使用RADIUS或HWTACACS等远端用户。

       查询SNMP agent的状态是关闭的:

       [HUAWEI]display snmp-agent  sys-info

    • 2.      华为设备使能SNMP时,默认使用SNMP V3版本。不建议使用V1和V2版本。

    l  查询SNMP状态

           [HUAWEI]display snmp-agent  sys-info

    l  如果查询结果显示:

                   SNMP version running in the system: 

                    SNMPv1 SNMPv2c SNMPv3

      l  配置关闭SNMP V1/V2协议:

                     [HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

    • 3.      如果必须使用SNMP V1/V2,建议关闭SNMP V1/V2 mib的查询用户账号节点。

              建议配置:

                     [HUAWEI] snmp-agent mib-view include userinfo internet

                     [HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

                     [HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

                     [HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

                     [HUAWEI] snmp-agent community read public mib-view userinfo 

                     [HUAWEI] snmp-agent community write private mib-view userinfo

    •  4. 在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问;

      配置举例:

             [HUAWEI] acl 2001

            [HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

            [HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

            [HUAWEI-acl-basic-2001] quit

            [HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

     

    配置畸形报文攻击防范

    anti-attack abnormal enable

    配置分片报文攻击防范

    anti-attack fragment enable

    配置TCP SYN泛洪攻击防范

    anti-attack tcp-syn enable

    配置UDP泛洪攻击防范

    anti-attack udp-flood enable

    配置ICMP泛洪攻击防范

    anti-attack icmp-flood enable

    检查泛洪攻击防范的配置结果

    执行display anti-attack statistics [ tcp-syn | udp-flood | icmp-flood ]命令

    展开全文
  • 两个目录的权限如下:drwxr-xr-x 2 tkbudget tkbudget 256 Mar 16 17:02 cron_logsdrwxr-x--- 2 tkbudget tkbudget 256 Mar 17 13:33 tk_outline要求建立一个单独的ftp用户,该用户只对上述两个目录有读写权限。...
  • 由于我们的acl只是针对网络层做了限制,并没有限制传输层,所以我们将FTP Server放入办公网络,将FTP CLient放入游客网络,验证能否通 给FTP Server和FTP Client分配IP地址,并验证能否ping通网关 打开FTP ...
  • 由于此设备没有对BT、eMule和迅雷等P2P流量直接限制的功能,所以只能考虑通过访问控制列表来对P2P软件进行完全屏蔽。  在查阅各P2P软件相关资料之后,我发现新版本的BT软件如BitComet、BitSpi...
  • Cisco Adaptive Security Appliance Software Version 7.2(2...access-list ouside-acl extended permit tcp host x.x.x.x host x.x.x.x eq ftp access-list outbound-ftp extended permit tcp host x.x.x.x host ...
  • ACL

    千次阅读 多人点赞 2016-02-29 11:29:51
    控制访问列表ACL(Access Control List),主要用于控制端口进出的数据包。可以过滤数据包来限制网络流量,提高网络性能。可以控制数据包来提高提供网络安全。
  • 华为如何通过ACL访问控制列表限制上网

    万次阅读 多人点赞 2011-10-10 09:15:27
    登 ...acl number 3000 (如果不存在,创建访问列表;存在则添加一条限制) 允许192.168.1.99上网: rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0 说明:192.168.1.99
  • ACL解析

    千次阅读 2018-09-07 15:02:12
    1. 什么是ACL? 访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、...ACL可以限制网络流量、提高网络性能。例如,ACL可以...
  • ACL实验-高级ACL

    千次阅读 2019-12-18 12:26:12
    一、每一个acl都需要分配一个编号,成为acl编号,基本acl:2000-2999,高级acl:3000-3999,二层acl:4000-4999,用户自定义acl:5000-5999。一个acl的每一个规则有相应的编号,规则编号按照:10,20,30,40... 基本...
  • ACL简介

    千次阅读 2017-06-05 11:12:12
    一、概述  访问控制列表(Access Control List ,ACL)是路由器和交换机接口的指令列表,用来控制... 配置ACL后,可以限制网络流量,允许设备访问,指定转发特定端口数据包等。如可以配置ACL ,禁止局域网内的设
  • R1(config)# access-list 100 permit tcp any any eq 80 R1(config)# access-list 100 permit tcp any any ...在实际应用中,我们通常只对那些可能有害的访问作出拒绝限制,或者限制用户访问某些有害的站点或服务
  • 高级ACL

    2021-04-28 18:01:31
    NETWORK day 04 ================================================ ...禁止2.1访问1.1的ftp服务,但不影响其他服务 [Huawei]dis acl all //查看acl [Huawei]acl 3000 //创建(进入)acl3000 [Huawei-acl-adv-300...
  • 路由器ACL应用

    千次阅读 2015-07-06 22:39:12
    ACL的概念 ...ACL的作用ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从
  • ACL基础详解

    千次阅读 2018-11-30 10:24:36
    企业路由器能够识别有害流量并阻止它访问和破坏网络,几乎所有的路由器都可以根据数据包的源IP地址和目的IP地址来过滤流量,它还可以根据特定的应用和协议来过滤流量,例如TCP,HTTP,FTP,和Telnet 2.访问控制列表...
  • acl实验

    2020-03-20 22:06:22
    0)需求: ...使用基本访问控制列表,限制192.168.1.0网段不能telnet到R2。 使用高级访问控制列表,控制192.168.2.1只能访问server1的http服务,访问server2的ftp服务,其它都禁止; 实验步骤:1、先...
  • ACL总结

    2008-08-17 23:16:09
    ACL的作用 ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的...
  • 访问控制列表 ACL

    千次阅读 2017-10-17 11:31:00
    访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。其目的是为了对某种访问进行控制。...例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一
  • Reflexive ACL

    2015-06-10 17:47:41
    Reflexive ACL1.简介防火墙一般使用的是状态侦听检测机制来保证内部网络的安全,内网主动发起的会话可以通过并记录会话信息以便于...如果使用普通的ACL限制外网访问内网,那么同时也将造成内网访问外网的信息不能...
  • ftp

    2014-08-09 20:18:30
    Sftp和ftp over ssh2的区别 最近使用SecureFx,涉及了两个不同的安全文件传输协议: -sftp -ftp over SSH2 这两种协议是不同的。sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身不需要ftp服务器...
  • 4.1 实验目的(1)掌握定义time-range;(2)掌握配置基于时间ACL;(3)掌握基于时间的ACL的测试4.2 实验原理1.基于时间ACL的配置基于时间的 ACL 功能类似于扩展 ...时间限制会应用到该功能本身。基于时间的 ACL 具...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,643
精华内容 3,457
关键字:

acl限制ftp