引言：信息快速發(fā)展時(shí)代，越多越多的內(nèi)網(wǎng)數(shù)據(jù)需要跟外部環(huán)境設(shè)備進(jìn)行互連、互通，但是外部環(huán)境始終是一個(gè)未知的隱患，如何做到既能讓外部環(huán)境設(shè)備接入又能很好地保護(hù)內(nèi)部數(shù)據(jù)安全，在沒(méi)有充裕資金買(mǎi)防火墻設(shè)備的情況下，本文介紹利用現(xiàn)有交換機(jī)的ACL控制列表來(lái)實(shí)現(xiàn)互連之間的安全。

單位某部門(mén)采購(gòu)了一臺(tái)大型設(shè)備，此套設(shè)備有許多儀器組建成一個(gè)內(nèi)部局域網(wǎng)，其中一臺(tái)服務(wù)器是雙網(wǎng)卡，一塊用于它們系統(tǒng)的內(nèi)部局域網(wǎng)交互，一塊用于跟單位內(nèi)部系統(tǒng)數(shù)據(jù)交互，這意味著這臺(tái)服務(wù)器會(huì)跟單位內(nèi)網(wǎng)物理連通，存在一定的安全隱患，筆者對(duì)外聯(lián)設(shè)備要求比較嚴(yán)格，故讓軟件服務(wù)商敲定最終方案后,提供筆者外聯(lián)服務(wù)器跟單位內(nèi)部服務(wù)器交互的具體地址以及端口號(hào)，再通過(guò)ACL訪問(wèn)控制列表做安全實(shí)施。思慮之后想到兩種方法可以滿足需求。

在核心上對(duì)指定VLAN做ACL控制

筆者通過(guò)Cisco Packet Tracert 軟件模擬了一個(gè)類似的實(shí)驗(yàn)環(huán)境。

實(shí)驗(yàn)?zāi)康模?讓“中間服務(wù)器”只允許訪問(wèn)“內(nèi)部服務(wù)器1”的www服務(wù)。

圖1 創(chuàng)建ACL規(guī)則

圖2 應(yīng)用ACL規(guī)則

圖3 創(chuàng)建ACL規(guī)則

圖4 應(yīng)用ACL規(guī)則

為了便于描述，將“中間服務(wù)器”比為“A”，“內(nèi)部服務(wù)器1”比為“B”，“內(nèi)部服務(wù)器2”比為“C”

在未設(shè)置ACL時(shí)，A能Ping通B跟C。

當(dāng)設(shè)置好ACL后,A不能Ping通B跟C，但能訪問(wèn)B的www服務(wù)。

三層交換機(jī)的ACL配置如下。

首先如圖1所示創(chuàng)建ACL規(guī)則，再在VLAN端口上應(yīng)用所創(chuàng)建的ACL規(guī)則，如圖2所示。

其中ACL規(guī)則里的命令“Permit ip any any”是為了實(shí)驗(yàn)環(huán)境模擬方便，實(shí)際環(huán)境具體更改。

在接入層交換機(jī)上做ACL控制

由于模擬器無(wú)法在端口上應(yīng)用ACL，故在思科交換機(jī)模擬。

創(chuàng)建ACL的規(guī)則跟上面一樣，區(qū)別是此ACL規(guī)則需應(yīng)用在端口上，配置如下。首先如圖3所示創(chuàng)建ACL規(guī)則，再在交換機(jī)端口上應(yīng)用所創(chuàng)建的ACL規(guī)則如圖4所示。

以上兩種方法都可以滿足需求，根據(jù)實(shí)際情況最終筆者選擇了第二種方法，對(duì)單臺(tái)設(shè)備控制更加準(zhǔn)確、方便。第一種方法更適合對(duì)批量設(shè)備的控制N