首先,访问控制的基本原则是“默认允许”,也就是说,除非有明确的规定禁止,否则所有请求都会被允许通过。这种策略旨在简化设置,同时提供灵活性。
其次,每个ip地址都可以通过特定的掩码进行标识。对于单个IP,我们使用“/32”掩码;而对于所有IP,则使用“0.0.0.0/32”掩码。这样做有助于在设置访问控制规则时,明确指定要控制的目标。
在配置访问控制时,我们通常需要使用“IP+掩码”的形式来表示源地址和目的地址。这意味着,在设置规则时,您需要将IP地址段转换为这种格式。
值得注意的是,访问控制策略具有方向性。这意味着在设置允许访问的策略时,我们需要同时考虑发出和返回的数据是否都可以通过。例如,如果您允许主机A访问主机B,那么您也需要允许主机B访问主机A。
以下是一个简单的例子,说明了如何配置访问控制:
假设我们有一个局域网,其中有四台主机:A、B、C和D。主机A没有任何限制,主机B仅允许收发电子邮件,主机C仅允许浏览网页,而主机D则禁止所有服务。
在配置访问控制时,我们可以按照以下步骤进行:
1. 对所有IP开放“53”端口,以便允许DNS解析。 2. 对主机A开放所有服务,这意味着其所有端口都允许数据传输。 3. 对主机B开放“53”、“25”和“110”端口,这三个端口分别用于DNS、SMTP和POP3协议,它们是收发电子邮件所必需的。 4. 对主机C开放“53”和“80”端口,这两个端口分别用于DNS和HTTP协议,它们是浏览网页所必需的。 5. 对主机D禁止所有服务。
最后,由于访问控制默认策略为“允许”,我们需要添加一条规则来禁止其他服务。这样,只有符合特定规则的请求才会被允许。
总之,访问控制是确保网络安全的关键因素。通过理解并正确配置访问控制规则,我们可以有效地控制局域网内的主机对外网的访问权限,从而保护网络免受潜在威胁。
访问控制通过数据包的源IP地址、源端口、目的IP地址、目的端口以及生效时间来控制局域网内的主机对外网的访问权限。
1、访问控制默认策略为“允许”,即“不符合规则的允许通过”。
2、单个IP使用掩码“/32”标识,所有IP使用“0.0.0.0/32”标识。
3、源地址与目的地址均采用“IP+掩码”的方式表示,设置时需要将IP地址段转换为“IP地址+子网掩码”方式。
4、控制策略具有方向性,设置允许访问的策略时需考虑发出以及返回的数据是否均可以通过。
例:局域网主机A“192.168.1.10”不受限制,主机B“192.168.1.11”仅允许收发电子邮件,主机C“192.168.1.12”仅允许浏览网页,其余主机所有服务全部禁止。
【分析】:主机A开放其所有端口,主机B仅开放“53”、“25”与“110”端口,主机C仅开放其“53”与“80”端口,其余主机均禁止。
【设置】:
1、 开放所有IP的“53”端口。
生效接口域:ER访问控制为双向检测,即具有方向性,设置内网到外网的策略,则生效接口域应选择“LAN”,外网到内网的策略,生效接口域应选择“WAN”。
注意:必须选择正确的生效接口域,否则所设置规则将不生效。
2、开放主机“192.168.1.10”的所有服务。
3、开放主机“192.168.1.11”收发电子邮件权限
4、开放主机“192.168.1.12”浏览网页权限
5、访问控制缺省策略为“允许”,所以需要再添加一条规则禁止其他服务
规则完成如下图:
