访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性

简介: 访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性

通过之前的文章简单介绍了华为交换机如何配置SSH远程登录,在一些工作场景,需要特定的IP地址段能够SSH远程访问和管理网络设备,这样又需要怎么配置呢?下面通过一个简单的案例带着大家去了解一下。

要实现这个功能其实很简单,我们只需要把允许访问的IP流量放通,其他IP流量禁止就能实现了。这里使用ACL就能轻松实现了。

什么是ACL?

ACL(Access Control List)访问控制列表,是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

ACL应用原则

  1. 标准ACL,尽量用在靠近目的点
  2. 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
  3. 方向:在应用时,一定要注意方向

案例分享

拓扑图

在这里插入图片描述

描述: 机房交换机不允许非管理网络SSH登录。上述拓扑中PC2属于管理网络,能远程SSH登录交换机SW1。而PC3不需要管理网络不能SSH登录交换机SW1.

配置思路

  1. 创建VLAN10和20,并为VLANIF10和20配置IP地址。
  2. 分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。
  3. 在SW1上配置SSH远程登录。
  4. 配置ACL,允许管理网络远程登录,禁用非管理网络登录。

关键配置

创建VLAN10和20,并为VLANIF10和20配置IP地址。

[SW1]vlan batch 10 20  #创建 vlan 10 20
[SW1]interface Vlanif 10 #进入vlan10配置模式
[SW1-Vlanif10]ip address  192.168.10.254 24 #配置vlan10 IP地址
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24

分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。

[SW1]interface GigabitEthernet 0/0/24 #进入接口模式
[SW1-GigabitEthernet0/0/24]port link-type access #配置接口模式为access
[SW1-GigabitEthernet0/0/24]port default vlan 10 #把接口加入到vlan10中
[SW1]interface GigabitEthernet 0/0/23 
[SW1-GigabitEthernet0/0/23]port link-type access 
[SW1-GigabitEthernet0/0/23]port default vlan 20

在SW1上配置SSH远程登录。

关于SW1上的SSH远程登录配置,可以参考这篇文章

配置ACL,允许管理网络远程登录,禁用非管理网络登录。

[SW1]acl name ssh_kongzhi 2001 #定义acl名称为ssh_kongzhi
#匹配允许192.168.10网络的流量
[SW1-acl-basic-ssh_kongzhi]rule 5 permit source 192.168.10.0 0.0.0.255 
[SW1-acl-basic-ssh_kongzhi]rule  10 deny #禁止其他网络流量

#在vty接口应用acl 2001
[SW1-ui-vty0-4]acl  2001 inbound

通过以上的ACL访问控制列表,就能完美的把允许的流量放行,其他的流量就禁止。其中ACL还有很多的应用场景。感兴趣的小伙伴们可以深入探讨。

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
11天前
|
安全 Ubuntu Linux
Nipper 3.8.0 for Windows & Linux - 网络设备漏洞评估
Nipper 3.8.0 for Windows & Linux - 网络设备漏洞评估
34 0
Nipper 3.8.0 for Windows & Linux - 网络设备漏洞评估
|
18天前
|
XML 安全 网络安全
Nipper 3.7.0 Windows x64 - 网络设备漏洞评估
Nipper 3.7.0 Windows x64 - 网络设备漏洞评估
32 0
Nipper 3.7.0 Windows x64 - 网络设备漏洞评估
|
3月前
|
监控 Linux PHP
【02】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-2月12日优雅草简化Centos stream8安装zabbix7教程-本搭建教程非docker搭建教程-优雅草solution
【02】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-2月12日优雅草简化Centos stream8安装zabbix7教程-本搭建教程非docker搭建教程-优雅草solution
114 20
|
4月前
|
安全 Linux 网络安全
利用Python脚本自动备份网络设备配置
通过本文的介绍,我们了解了如何利用Python脚本自动备份网络设备配置。该脚本使用 `paramiko`库通过SSH连接到设备,获取并保存配置文件。通过定时任务调度,可以实现定期自动备份,确保网络设备配置的安全和可用。希望这些内容能够帮助你在实际工作中实现网络设备的自动化备份。
132 14
|
3月前
|
监控 关系型数据库 MySQL
【01】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-硬件设备实时监控系统运营版发布-本产品基于企业级开源项目Zabbix深度二开-分步骤实现预计10篇合集-自营版
【01】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-硬件设备实时监控系统运营版发布-本产品基于企业级开源项目Zabbix深度二开-分步骤实现预计10篇合集-自营版
61 0
|
4月前
|
存储 监控 安全
网络设备日志记录
网络设备日志记录是追踪设备事件(如错误、警告、信息活动)的过程,帮助IT管理员进行故障排除和违规后分析。日志详细记录用户活动,涵盖登录、帐户创建及数据访问等。为优化日志记录,需启用日志功能、管理记录内容、区分常规与异常活动,并使用专用工具进行事件关联和分析。集中式日志记录解决方案可收集并统一管理来自多种设备和应用的日志,提供简化搜索、安全存储、主动监控和更好的事件可见性,增强网络安全。常用工具如EventLog Analyzer能灵活收集、存储和分析日志,确保高效管理。
231 5
|
5月前
|
5G 数据安全/隐私保护
如果已经链接了5Gwifi网络设备是否还能搜索到其他5Gwifi网络
当设备已经连接到一个5G Wi-Fi网络时,它仍然有能力搜索和发现其他可用的5G Wi-Fi网络。这里所说的“5G Wi-Fi”通常指的是运行在5GHz频段的Wi-Fi网络,而不是与移动通信中的5G网络(即第五代移动通信技术)混淆。
|
6月前
|
网络协议 安全 文件存储
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问,即使IP地址变化,也能通过DDNS服务保持连接。适用于家庭网络远程访问设备及企业临时或移动设备管理,提供便捷性和灵活性。示例代码展示了如何使用Python实现基本的DDNS更新。尽管存在服务可靠性和安全性挑战,DDNS仍极大提升了网络资源的利用效率。
543 6
|
6月前
|
存储 网络性能优化 网络虚拟化
局域网络设备
网卡、中继器、集线器、网桥和交换机是网络通信中的关键设备。网卡实现计算机与网络的连接,中继器用于延长网络传输距离,集线器将多台设备连接至共享网络,网桥通过MAC地址转发数据,而交换机提供高性能的数据转发和过滤服务,支持VLAN、QoS等功能,适用于不同规模的网络环境。
188 3
|
6月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。ACL 可应用于路由器、防火墙等设备,通过设定规则控制访问。其类型包括标准、扩展、基于时间和基于用户的ACL,广泛用于企业网络和互联网安全中,以增强安全性、实现精细管理和灵活调整。然而,ACL 也存在管理复杂和可能影响性能的局限性。未来,ACL 将趋向智能化和自动化,与其他安全技术结合,提供更全面的安全保障。
373 4

热门文章

最新文章

AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等