任务描述
某公司构建了互联互通的办公网。北京总部的网络核心使用一台三层路由器设备连接不同子网,构建企业办公网络。通过三层技术一方面实现办公网络互联互通,另一方面把办公网接入Internet网络。 公司在天津设有一分公司,使用三层设备的专线技术,借助Internet和总部网络实现连通。由于天津分公司网络安全措施不严密,公司规定:天津分公司的销售部访问禁止总公司的FTP服务器资源,允许销售部和技术部访问总公司的Web等公开信息资源,而除此之外对服务器的其他访问均被限制,来达到保护服务器和数据安全的目的。
任务要求
(1)使用高级ACL限制服务器端口防攻击,网络拓扑图如图
(2)路由器的端口IP地址设置如表
(3)计算机的IP地址、子网掩码和默认网关如表
(4)使用静态路由实现全网互通。
(5)配置高级访问控制列表,禁止天津分公司的销售部访问总公司的FTP服务器资源,允许天津分公司的销售部和技术部访问总公司的Web等公开信息资源,而除此之外对服务器的其他访问均被限制。
知识准备
高级ACL可以根据IP报文的源IP地址、IP报文的目的IP地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源端口号、TCP 报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。基本ACL的功能只是高级ACL功能的一个子集,高级ACL可定义出更精准、更复杂、更灵活的规则。 高级ACL中规则的配置比基本ACL中规则的配置复杂得多,且配置命令的格式也会因IP报文的载荷数据类型的不同而不同。例如,针对ICMP报文、TCP报文、UDP报文等不同类型的报文,其相应的配置命令的格式也是不同的。高级ACL的编号范围为3000~3999。
任务实施
据如图所示的网络拓扑图,连线全部使用直通线、开启所有设备电源和为每一台计算机设置好相应的IP地址、子网掩码和默认网关。
路由器R1基本配置
路由器R2的基本配置。
配置静态路由实现全网互通。
(1)在路由器R1上配置。
(2)在路由器R2上配置。
配置高级访问控制列表。
查看访问控制列表信息。
应用访问控制列表在端口上。
配置Server1服务器的FtpServer和HttpServer。
(1)配置FtpServer服务器。 在Server1上单击鼠标右键,在弹出的快捷菜单中选择“服务器信息”选项,打开设置对话框选择“FtpServer”中的“配置”,进行文件根目录的添加,这里选择“C:\”,最后选择“启动”按钮,如图
(2)配置HttpServer服务器。 在Server1上单击鼠标右键,在弹出的快捷菜单中选择“服务器信息”选项,打开设置对话框选择“HttpServer”中的“配置”,进行文件根目录的添加,这里选择“C:\Http\index.htm”(需提前创建好),最后选择“启动”按钮,如图所示。
任务验收
在销售部Sales上访问Web服务器是可以正常访问的,如图
在销售部Sales上测试FTP是无法常访问的,如图
查看访问控制列表的应用状态。
任务小结
(1)高级访问控制列表要应用在尽量靠近源地址的端口。
(2)要注意允许某个网段后,要拒绝其他网段。
(3)对FTP而言,必须制定ftp(21)和ftp-data(20)。