6.1.2-使用扩展ACL限制公司网络访问v1.3.pdfVIP

使用扩展ACL 限制公司网络访问 1.项目背景 Jan16 公司财务部计算机若干台，并架设了专用的财务系统服务器，进行局域网组建， 通过路由器连接至互联网。出于财务系统数据安全的考虑，需要在路由器访问控制策略，只 能财务部PC1 能够访问财务系统前端网站；同时，服务器不可访问外部网络。项目拓扑如图 1 所示。具体要求如下： （1） 要求仅允许财务部PC1 访问财务系统服务器前端网站； （2） 财务系统服务器仅在内网使用，不允许访问外部网络； （3） 测试计算机、路由器的IP 和接口信息如拓扑所示。 图1 网络拓扑图 2.项目规划设计 扩展ACL 可以对IP 包地址信息中的源地址、目的地址、协议、端口号进行匹配，即检 查通过IP 包中的地址信息，如果地址信息与ACL 中的规则相匹配，就执行放行或拦截的操 作。在本项目中,访问控制策略主要集中在对财务系统服务器的访问权限上，可通过路由器 上应用即可实现。ACL 策略的主要内容包括：1、创建允许财务部PC1 对服务器80 端口的访 问；2、创建拒绝财务系统服务器对外部网络访问。 配置步骤如下： （1） 配置路由器接口 （2） 配置高级ACL 控制访问 （3） 配置各部门计算机的IP 地址 具体规划如下表： 表1 IP 地址规划表 设备 接口 IP 地址 R1 G0/0/0 6/24 R1 G0/0/1 54/24 R1 G0/0/2 54/24 SW1 G0/0/1 Null SW1 G0/0/2 Null SW2 G0/0/2 Null SW2 Eth0/0/1 Null SW2 Eth0/0/2 Null 财务系统服务器 Eth0/0/1 /24 财务部PC1 Eth0/0/1 /24 财务部PC2 Eth0/0/1 /24 表2 端口规划表 本端设备 本端接口 对端设备 对端接口 R1 G0/0/0 Internet R1 G0/0/1 SW1 G0/0/1 R1 G0/0/2 SW2 G0/0/2 SW1 G0/0/1 R1 G0/0/1 SW1 G0/0/2 财务系统服务器 Eth0/0/1 SW2 Eth0/0/1