 策略需求: 1. Internet可以訪問DMZ區(qū)域內(nèi)的Email、DNS、Web服務(wù)器 2. Internet不能訪問內(nèi)部網(wǎng)絡(luò) 3. 內(nèi)部Email服務(wù)器只可以訪問DMZ Email服務(wù)器,不可以訪問其他設(shè)備 4. DMZ Email服務(wù)器可以訪問內(nèi)部Email服務(wù)器來傳發(fā)郵件 5. 內(nèi)部用戶可以訪問Internet,接收回復(fù)數(shù)據(jù)包 6. 內(nèi)部用戶不能訪問DMZ Email服務(wù)器或任何外部的Email服務(wù)器 配置: R1(config)#ip access-list extended internal_ACL /*該命名ACL用于限制流量離開內(nèi)部網(wǎng)段*/ R1(config-ext-nacl)#permit tcp host 192.1.1.1 host 192.1.2.1 eq 25 reflect RACL_DMZ /*允許內(nèi)部Email服務(wù)器發(fā)送Email到DMZ Email服務(wù)器,并允許返回流量通過RACL_DMZ*/ R1(config-ext-nacl)#deny tcp any any eq 25 /*拒絕任何內(nèi)部主機發(fā)送Email到DMZ Email服務(wù)器或任何其他Email服務(wù)器*/ R1(config-ext-nacl)#deny ip host 192.1.1.1 any /*拒絕內(nèi)部Email服務(wù)器訪問任何其他DMZ設(shè)備或外部設(shè)備*/ R1(config-ext-nacl)#permit ip any 192.1.2.0 0.0.0.255 reflect RACL_DMZ /*為從內(nèi)部網(wǎng)段到DMZ的流量建立RACL,這些臨時條目被放在RACL_DMZ中*/ R1(config-ext-nacl)#permit ip any any /*允許所有其他的從內(nèi)部網(wǎng)段到Internet的流量*/ R1(config-ext-nacl)#exit R1(config)#ip access-list extended dmz_ACL /*該命名ACL用于限制從DMZ和Internet網(wǎng)段到內(nèi)部網(wǎng)段的流量*/ R1(config-ext-nacl)#permit tcp host 192.1.2.1 host 192.1.1.1 eq 25 /*允許DMZ Email服務(wù)器向內(nèi)部Email服務(wù)器轉(zhuǎn)發(fā)Email*/ R1(config-ext-nacl)#evaluate RACL_DMZ /*RACL_DMZ的引用允許內(nèi)部設(shè)備發(fā)送給DMZ的流量可以返回到內(nèi)部設(shè)備*/ R1(config-ext-nacl)#evaluate RACL_Internal_return /*RACL_Internal_return的引用允許內(nèi)部設(shè)備發(fā)送到Internet的流量可以返回到內(nèi)部設(shè)備。RACL_Internal_return的定義參見下面的部分*/ R1(config-ext-nacl)#exit R1(config)#ip access-list extended exit_ACL /*此命名ACL用于限制流量離開網(wǎng)絡(luò)*/ R1(config-ext-nacl)#permit tcp host 192.1.2.1 any eq 25 reflect RACL_DMZ_return /*定義RACL_DMZ_return允許由DMZ Email服務(wù)器發(fā)起的流量返回到DMZ Email服務(wù)器*/ R1(config-ext-nacl)#permit udp host 192.1.2.2 any eq 53 reflect RACL_DMZ_return /*定義RACL_DMZ_return允許由DMZ DNS服務(wù)器發(fā)送到Internet的DNS查詢返回到DMZ DNS服務(wù)器*/ |
新聞熱點
疑難解答
