安全典型配置（一）使用ACL限制FTP访问权限案例

  原创：厦门微思网络   【微思 2002年成立，专业IT认证培训21年！】

安全典型配置（一）使用ACL限制FTP访问权限案例 

安全典型配置（二）使用ACL限制用户在特定时间访问特定服务器的权限案例 

安全典型配置（三）使用ACL禁止特定用户上网案例

安全典型配置（四）使用自反ACL实现单向访问控制案例

安全典型配置（五）SNMP中应用ACL过滤非法网管案例 

安全典型配置（六）配置IPSG限制非法主机访问内网案例（静态绑定）

使用ACL限制FTP访问权限案例

ACL简介

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。

本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。

配置注意事项

• 本例中配置的本地用户登录密码方式为irreversible-cipher，表示对用户密码采用不可逆算法进行加密，非法用户无法通过解密算法特殊处理后得到密码，安全性较高，该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码，仅能采用cipher方式，表示对用户密码采用可逆算法进行加密，非法用户可以通过对应的解密算法解密密文后得到密码，安全性较低。
• 本举例适用于S系列交换机所有产品的所有版本。

组网需求

如图1所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：

• 子网1（172.16.105.0/24）的所有用户在任意时间都可以访问FTP服务器。
• 子网2（172.16.107.0/24）的所有用户只能在某一个时间范围内访问FTP服务器。
• 其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。

图1 使用基本ACL限制FTP访问权限组网图

操作步骤

  1、配置时间段

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] time-range ftp-access from 0:0 2021/1/1 to 23:59 2021/12/31  //配置ACL生效时间段，该时间段是一个绝对时间段模式的时间段
[Switch] time-range ftp-access 14:00 to 18:00 off-day    //配置ACL生效时间段，该时间段是一个周期时间段，表示每个休息日下午14:00到18:00，ftp-access最终生效的时间范围为以上两个时间段的交集

2、配置基本ACL

[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255  //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access  //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器
[Switch-acl-basic-2001] rule deny source any  //限制其他用户不可以访问FTP服务器
[Switch-acl-basic-2001] quit

3、配置FTP基本功能

[Switch] ftp server enable  //开启设备的FTP服务器功能，允许FTP用户登录。
[Switch] ftp server-source -i Vlanif 10    //配置服务器端的源接口为172.16.104.110对应的接口，假设该接口为Vlanif 10。
[Switch] aaa            
[Switch-aaa] local-user huawei password irreversible-cipher SetUserPassword@123  //配置FTP用户的用户名和密码，其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码
[Switch-aaa] local-user huawei privilege level 15  //配置FTP用户的用户级别
[Switch-aaa] local-user huawei service-type ftp  //配置FTP用户的服务类型
[Switch-aaa] local-user huawei ftp-directory cfcard:/  //配置FTP用户的授权目录，在盒式交换机上需配置为flash:/
[Switch-aaa] quit

4、配置FTP服务器访问权限

[Switch] ftp acl 2001  //在FTP模块中应用ACL

  5、验证配置结果

在子网1的PC1（172.16.105.111/24）上执行ftp 172.16.104.110命令，可以连接FTP服务器。

2021年某个周一在子网2的PC2（172.16.107.111/24）上执行ftp 172.16.104.110命令，不能连接FTP服务器；2021年某个周六下午15:00在子网2的PC2（172.16.107.111/24）上执行ftp 172.16.104.110命令，可以连接FTP服务器。

在PC3（10.10.10.1/24）上执行ftp 172.16.104.110命令，不能连接FTP服务器。