簡化版的網絡防火墻

引言：信息快速發展時代，越多越多的內網數據需要跟外部環境設備進行互連、互通，但是外部環境始終是一個未知的隱患，如何做到既能讓外部環境設備接入又能很好地保護內部數據安全，在沒有充裕資金買防火墻設備的情況下，本文介紹利用現有交換機的ACL控制列表來實現互連之間的安全。

單位某部門采購了一臺大型設備，此套設備有許多儀器組建成一個內部局域網，其中一臺服務器是雙網卡，一塊用于它們系統的內部局域網交互，一塊用于跟單位內部系統數據交互，這意味著這臺服務器會跟單位內網物理連通，存在一定的安全隱患，筆者對外聯設備要求比較嚴格，故讓軟件服務商敲定最終方案后,提供筆者外聯服務器跟單位內部服務器交互的具體地址以及端口號，再通過ACL訪問控制列表做安全實施。思慮之后想到兩種方法可以滿足需求。

在核心上對指定VLAN做ACL控制

筆者通過Cisco Packet Tracert 軟件模擬了一個類似的實驗環境。

實驗目的： 讓“中間服務器”只允許訪問“內部服務器1”的www服務。

圖1 創建ACL規則

圖2 應用ACL規則

圖3 創建ACL規則

圖4 應用ACL規則

為了便于描述，將“中間服務器”比為“A”，“內部服務器1”比為“B”，“內部服務器2”比為“C”

在未設置ACL時，A能Ping通B跟C。

當設置好ACL后,A不能Ping通B跟C，但能訪問B的www服務。

三層交換機的ACL配置如下。

首先如圖1所示創建ACL規則，再在VLAN端口上應用所創建的ACL規則，如圖2所示。

其中ACL規則里的命令“Permit ip any any”是為了實驗環境模擬方便，實際環境具體更改。

在接入層交換機上做ACL控制

由于模擬器無法在端口上應用ACL，故在思科交換機模擬。

創建ACL的規則跟上面一樣，區別是此ACL規則需應用在端口上，配置如下。首先如圖3所示創建ACL規則，再在交換機端口上應用所創建的ACL規則如圖4所示。

以上兩種方法都可以滿足需求，根據實際情況最終筆者選擇了第二種方法，對單臺設備控制更加準確、方便。第一種方法更適合對批量設備的控制N