首页 > 其他分享 >安全典型配置(一)使用ACL限制FTP访问权限案例

安全典型配置(一)使用ACL限制FTP访问权限案例

时间:2024-01-05 14:34:57浏览次数:44  
标签:FTP ftp 配置 ACL Switch 172.16 权限

  原创:厦门微思网络   【微思 2002年成立,专业IT认证培训21年!】

安全典型配置(一)使用ACL限制FTP访问权限案例 

安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限案例 

安全典型配置(三)使用ACL禁止特定用户上网案例

安全典型配置(四)使用自反ACL实现单向访问控制案例

安全典型配置(五)SNMP中应用ACL过滤非法网管案例 

安全典型配置(六)配置IPSG限制非法主机访问内网案例(静态绑定)

安全典型配置(一)使用ACL限制FTP访问权限案例_服务器

使用ACL限制FTP访问权限案例


ACL简介

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。


基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。


本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。



配置注意事项

  • 本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。
  • 本举例适用于S系列交换机所有产品的所有版本。




组网需求

如图1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:

  • 子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。
  • 子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。
  • 其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。

安全典型配置(一)使用ACL限制FTP访问权限案例_时间段_02


图1 使用基本ACL限制FTP访问权限组网图




操作步骤

  1、配置时间段

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] time-range ftp-access from 0:0 2021/1/1 to 23:59 2021/12/31  //配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段
[Switch] time-range ftp-access 14:00 to 18:00 off-day    //配置ACL生效时间段,该时间段是一个周期时间段,表示每个休息日下午14:00到18:00,ftp-access最终生效的时间范围为以上两个时间段的交集

2、配置基本ACL

[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255  //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access  //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器
[Switch-acl-basic-2001] rule deny source any  //限制其他用户不可以访问FTP服务器
[Switch-acl-basic-2001] quit

3、配置FTP基本功能

[Switch] ftp server enable  //开启设备的FTP服务器功能,允许FTP用户登录。
[Switch] ftp server-source -i Vlanif 10    //配置服务器端的源接口为172.16.104.110对应的接口,假设该接口为Vlanif 10。
[Switch] aaa            
[Switch-aaa] local-user huawei password irreversible-cipher SetUserPassword@123  //配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码
[Switch-aaa] local-user huawei privilege level 15  //配置FTP用户的用户级别
[Switch-aaa] local-user huawei service-type ftp  //配置FTP用户的服务类型
[Switch-aaa] local-user huawei ftp-directory cfcard:/  //配置FTP用户的授权目录,在盒式交换机上需配置为flash:/
[Switch-aaa] quit

4、配置FTP服务器访问权限

[Switch] ftp acl 2001  //在FTP模块中应用ACL

  5、验证配置结果

在子网1的PC1(172.16.105.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。

2021年某个周一在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器;2021年某个周六下午15:00在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。

在PC3(10.10.10.1/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器。


标签:FTP,ftp,配置,ACL,Switch,172.16,权限
From: https://blog.51cto.com/xmws/9114036

相关文章

  • oracle如何进行复杂的join查询
    在Oracle数据库中,进行复杂的JOIN查询涉及多个表之间的连接,可以使用JOIN子句来实现。以下是一些示例,展示如何在Oracle中执行复杂的JOIN查询:1.内连接(INNERJOIN):SELECTemployees.employee_id,employees.employee_name,departments.department_nameFROMemployeesINNERJOIN......
  • Oracle Database 23c Free - Developer Release 免费的 Oracle 数据库开发者版本下载
    免费的Oracle数据库开发者版本作者主页:sysin.orgOracleDatabase23cFree-DeveloperRelease是一个全新的、免费的、业界领先的Oracle数据库,全世界各个行业的企业每天都在使用它。无需oracle.com帐户即可下载,可以通过这个世界领先的简单、快速的融合数据库,支持所有数据模......
  • ZHS16GBK字符集下面Oracle数据库varchar与nvarchar的验证
    ZHS16GBK字符集下面Oracle数据库varchar与nvarchar的验证背景周末分析了SQLServermysql等数据库想着继续分析一下oracle数据库这边oracle使用的是ZHS16GBK的字符集.所以比较特殊.还是建议得使用UTF-8字符集.能让系统干的活就让系统干,自己干国际化太费劲了.处理思路使......
  • Lumen框架 之Layui权限管理系统
    一、效果图二、地址https://gitee.com/yang1015/lumen-rbac......
  • JVS低代码轻应用可独立配置目录权限,让企业数据安全无忧!
    在数字化快速发展的今天,轻应用已成为企业高效运营的关键。然而,如何合理地配置轻应用的目录权限,以确保数据安全和业务流程的顺利进行,成为了企业必须面对的挑战。JVS低代码轻应用提供了目录权限配置。本文详细介绍轻应用目录权限的重要性、基本概念、配置方法和最佳实践。通过理解并......
  • oracle 9i&10g编程艺术-读书笔记1
    根据书中提供的下载代码链接地址,从github上找到源代码下载地址。https://github.com/apress下载好代码后,开始一段新的旅行。......
  • oracle和mysql在数据引擎上的本质区别
    Oracle和MySQL是两种不同的关系型数据库管理系统(RDBMS),它们在数据引擎上有一些本质区别。以下是它们之间的一些主要区别:开发商和许可协议:Oracle:由Oracle公司开发,采用商业许可协议。通常需要购买许可证,并且有较高的成本。MySQL:由Oracle公司的子公司MySQLAB开发,采用开源许可协议(通......
  • 从零开始学 Oracle 数据库 (001)
    学习目的从零开始学习Oracle数据库,达到OCP实操水平。学习计划目标用100天学习Oracle数据库,为记录学习过程,计划连更100天学习笔记。学习纲要这块先空着,佛系学习法,学到哪算哪,回头再总结。学习环境数据库版本OracleDatabase19cRelease(19.3.0.0.0-64-bit,1......
  • Oracle中查看隐含参数的sql
    selecta.ksppinm"Parameter",a.ksppdesc"Description",b.ksppstvl"SessionValue",c.ksppstvl"InstanceValue"fromx$ksppia,x$ksppcvb,x$ksppsvcwherea.indx=b.indxanda.indx=c.indxanda.ksppinmlike'%hb......
  • Oracle数据库统计信息_执行计划_sharedpool等的知识梳理
    Oracle数据库统计信息_执行计划_sharedpool等的知识梳理背景最近有项目出现了年底业务量增加时卡顿的情况.同事多次发现执行SQL缓慢.但是重新执行统计信息更新后问题就优化的现象.12月份上半月解决测试环境的SQLServer卡顿时基本上也是这个套路重建索引,添加必要索引的方......