邊界路由器不僅可以作為企業(yè)通訊的管理工具，同時(shí)通過邊界路由器的訪問控制也可以在一定程度上達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的。本篇文章就通過設(shè)置邊界路由器的訪問控制，使得企業(yè)內(nèi)外網(wǎng)訪問受到限制。

企業(yè)邊界路由器：

interface FastEthernet0/0

ip address 23.0.0.1 255.255.255.0

ip access-group ZIFAN-2 in

duplex auto

speed auto

!

interface FastEthernet1/0

ip address 12.0.0.2 255.255.255.0

ip access-group ZIFAN in

duplex auto

speed auto

!

ip http server

no ip http secure-server

!

!

!

!

ip access-list extended ZIFAN

permit ip host 12.0.0.1 any reflect LINK_IN //指定該條語句執(zhí)行自反，自反列表的名字為LINK_IN

ip access-list extended ZIFAN-2

evaluate LINK_IN //計(jì)算并生成自反列表

deny ip any any

—————————————————————–

說明1：reflect和evalute后面的對應(yīng)名應(yīng)該相同，此例中為LINK_IN

說明2：自反ACL只能在命名的擴(kuò)展ACL里定義

—————————————————————–

訪問控制試驗(yàn)結(jié)果：

router#sh access-lists

Reflexive IP access list LINK_IN

permit icmp host 23.0.0.2 host 12.0.0.1 (39 matches) (time left 289)

Extended IP access list ZIFAN

10 permit ip host 12.0.0.1 any reflect LINK_IN (188 matches)

Extended IP access list ZIFAN-2

10 evaluate LINK_IN

20 deny ip any any (52 matches)
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)