0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何禁止外网访问公司内网服务器

jf_qwOiugB3 来源:通信弱电交流学习 2023-11-25 10:20 次阅读

对于企业网络,经常会用到访问控制,例如限制员工的上网时间?或如何控制各部门之间的网络互通等等,在实际企业网络项目中经常会遇到,这里面我们就可以用到ACL访问列表控制了,本期我们一起来看下,如何利用ACL禁止外网访问公司内网服务器。

一、什么是ACL?

首先我们来了解下ACL,ACL即访问控制列表,那么它有什么作用呢?

(ACL)访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。

访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

例如:

为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。那么我们来看下实例,如何利用ACL实现禁止外网访问公司内网服务器。

二、ACL禁止外网访问公司内网服务器

几乎大部分公司都有自己内部服务器,里面有一些公司保密性的内容,只供内部员工进入,禁止外部网络访问,大部分公司都会做这样的限制,我们来看下这个华为的实例。

一、实例要求

某公司通过交换机实现各部门之间的互连。要求只允许公司内网用户可以访问内网中的财务服务器,外网用户不允许访问。

7b1f10c6-8b0e-11ee-939d-92fbcf53809c.png

二、配置步骤

1、配置接口加入VLAN,并配置VLANIF接口的IP地址

# 将GE1/0/1~GE1/0/3分别加入VLAN10、20、30,这三个vlan中,也就是给公司三个部门各分配一个vlan。

GE2/0/1加入VLAN100,并配置各VLANIF接口的IP地址,也就是内网财务服务器的端口单独加一个vlan。

下面配置以GE1/0/1和VLANIF 10接口

7b2b6e8e-8b0e-11ee-939d-92fbcf53809c.jpg

下面配置以GE1/0/2和VLANIF 20接口

7b35d770-8b0e-11ee-939d-92fbcf53809c.jpg

下面配置以GE1/0/3和VLANIF30接口

7b3bd0f8-8b0e-11ee-939d-92fbcf53809c.jpg

下面配置以GE2/0/1和VLANIF100接口

7b452860-8b0e-11ee-939d-92fbcf53809c.jpg

那么所有的部分对应的接口都已经配置完了。

这里面说下VLAN与VLANIF的区别:

通俗的说,vlan就是一个二层的接口。

VLANIF就是创建三层接口,可以在上面配置IP的,上面的例子就配置了ip,通常这个接口地址作为vlan下面用户的网关。

2、配置ACL

# 创建高级ACL 3002并配置ACL规则,允许位于内网的总裁办公室、市场部和研发部访问财务服务器的报文通过,拒绝外网用户访问财务服务器的报文通过。

7b4bce86-8b0e-11ee-939d-92fbcf53809c.jpg

3、配置基于ACL的流分类

# 配置流分类c_network,对匹配ACL 3002的报文进行分类。

7b54cb76-8b0e-11ee-939d-92fbcf53809c.jpg

4、配置流行为

# 配置流行为b_network,动作为允许报文通过(缺省值,不需配置)。

7b59add0-8b0e-11ee-939d-92fbcf53809c.jpg

5、配置流策略

7b657a7a-8b0e-11ee-939d-92fbcf53809c.jpg

# 配置流策略p_network,将流分类c_network与流行为b_network关联。

6、应用流策略

7b6bfa1c-8b0e-11ee-939d-92fbcf53809c.jpg

# 由于内外网访问服务器的流量均从接口GE2/0/1出口流向服务器,所以可以在GE2/0/1接口的出方向应用流策略p_network。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9123

    浏览量

    85324
  • 数据包
    +关注

    关注

    0

    文章

    260

    浏览量

    24385
  • ACL
    ACL
    +关注

    关注

    0

    文章

    61

    浏览量

    11976

原文标题:如何禁止外网访问公司内网服务器

文章出处:【微信号:通信弱电交流学习,微信公众号:通信弱电交流学习】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    打破网络边界:P2Link助力实现高效远程访问内网穿透

    ,具备易用性、灵活性和安全性,它的工作原理是通过动态域名解析和隧道技术,将内网中的设备暴露给外网用户,并生成可供访问外网地址。无论是公司
    发表于 10-31 11:54

    如何外网直接访问树莓派上搭建的服务器

    。我现在是可以通过先登陆树莓派,再利用localhost:80的地址访问我的网页.但是我想能不能直接在外网通过输入网址访问。我试过远程端口转发将树莓派的80端口和云服务器的端口绑定,再
    发表于 07-04 17:55

    以太网访问外网STM32是做TCP还是UDP?

    已经调通了STM32F407IGT6+DP83848+LwIP的内网HTTP服务器通信了,现在想通过外网访问类似于Yeelink的网站并上传和下载一些数据,我想问一下我的STM32是做
    发表于 08-06 20:49

    关于linux中FTP服务nat后,访问问题

    大家好; 我们在linux系统中搭建FTP服务,当前网络环境是内网服务器的IP是 192.168.0.4 掩码:255.255.255.0我们在同网段服务器192.168.0.0/24
    发表于 05-18 14:42

    把旧手机改造成服务器

    ,使用lighttpd+php+sql可以使安卓手机瞬间变成一台服务器,并且兼容多数主流PHP程序搭建好web/FTP服务器后,通过使用咱们花生壳内网版APP做映射,还能实现随时随地远程外网
    发表于 02-07 10:56

    在Linux系统使用iptables实现外网访问内网

    外部网络上的主机需要访问这些服务器,则需要在网关上实现转发。 再转述成另一种应用场合,多台设备连接到一台服务器服务器有2个网卡,分别连接内外网
    的头像 发表于 10-29 11:23 2941次阅读
    在Linux系统使用iptables实现<b class='flag-5'>外网</b><b class='flag-5'>访问</b><b class='flag-5'>内网</b>

    如何在内网搭建TCP服务器且能被外网直接访问

    问题描述 起因:最近公司要做一个4G模块带GNSS(全球导航卫星系统)定位功能的产品,上传传感数据和设备定位数据到服务器上,我们选择了simcom7600G一个支持全球通的4G模块,首先在阿里云
    的头像 发表于 02-03 16:43 1.5w次阅读
    如何在<b class='flag-5'>内网</b>搭建TCP<b class='flag-5'>服务器</b>且能被<b class='flag-5'>外网</b>直接<b class='flag-5'>访问</b>

    外网用户通过外网地址访问内网服务器实验配置

    外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web
    的头像 发表于 08-31 10:53 2932次阅读

    如何禁止外网访问公司内网服务器

    对于企业网络,经常会用到访问控制,例如限制员工的上网时间?或如何控制各部门之间的网络互通等等,在实际企业网络项目中经常会遇到,这里面我们就可以用到ACL访问列表控制了,本期我们一起来看下,如何利用ACL禁止
    的头像 发表于 01-16 11:14 1355次阅读

    内网穿透案例】本地电脑变成服务器外网随时连接

    今天浩道跟大家分享一个关于内网穿透的实用案例,并且本地电脑变成服务器外网随时连接!
    的头像 发表于 01-30 09:35 1645次阅读

    外网设备访问内网设备NAT如何快速配置

    计算机、服务器之间依靠IP地址寻址,目前大部分依旧基于IPV4进行寻址访问。但是IPV4地址数量有限,于是很多企业都会建立一个内部的局域网,划分出新的、独立的网段,这个这个局域网的只在本网段内能互相
    的头像 发表于 12-18 17:23 784次阅读
    <b class='flag-5'>外网</b>设备<b class='flag-5'>访问</b><b class='flag-5'>内网</b>设备NAT如何快速配置

    香港的云服务器能上外网吗?稳定性如何

    能,香港的云服务器可以访问外网。香港作为中国的特别行政区,拥有独立的网络基础设施和相对开放的互联网环境。香港的云服务器在物理层面上与中国大陆的服务器
    的头像 发表于 08-15 11:39 434次阅读

    外网用户通过NAT设备访问内网服务器解决方案

    随着网络技术的不断发展,越来越多的企业需要将内部服务器开放给外网员工访问,以便员工外出时也能使用企业内部资源。然而,由于网络安全和隐私保护的考虑,直接暴露内网
    的头像 发表于 08-23 13:51 354次阅读
    <b class='flag-5'>外网</b>用户通过NAT设备<b class='flag-5'>访问</b><b class='flag-5'>内网</b><b class='flag-5'>服务器</b>解决方案

    如何通过内网IP安全访问服务器

    要通过内网IP安全访问服务器,您需要考虑以下几个步骤: 1、获取内网IP地址:首先,您需要确定云服务器
    的头像 发表于 09-23 13:36 477次阅读

    内网通过公网地址访问内网服务器的设置方法

    在一些场景下,内部网络中的服务器需要通过公网地址进行访问,尤其是在没有固定公网IP或需要在外部访问时。为了解决这一问题,可以使用以下几种方法实现内网穿透,方便地通过公网
    的头像 发表于 11-07 15:09 531次阅读