背景 出于安全和管理方便的考虑,必须把大型局域网按功能或地域等因素划成一个个小的局域网,这就使VLAN技术在网络中得以大量应用,而各个不同VLAN间的通信都要经过路由来完成转......
2017-02-06 200
访问控制通过数据包的源IP地址、源端口、目的IP地址、目的端口以及生效时间来控制局域网内的主机对外网的访问权限。
1、访问控制默认策略为“允许”,即“不符合规则的允许通过”。
2、单个IP使用掩码“/32”标识,所有IP使用“0.0.0.0/32”标识。
3、源地址可以采用“IP+掩码”或者”用户组”的方式表示,目的地址可以采用”IP+掩码”的方式来表示,设置时需要将IP地址段转换为“IP地址+子网掩码”方式或者是用户组的方式。
4、控制策略具有方向性,设置允许访问的策略时需考虑发出以及返回的数据是否均可以通过。即需要考虑其生效接口域的选择。
本文以TL-ER6120为例来介绍访问控制的配置步骤。
例:局域网主机A“192.168.1.10”不受限制,主机B“192.168.1.11”仅允许收发电子邮件,用户组C“192.168.1.20-30”仅允许浏览网页,其余主机所有服务全部禁止。
【分析】:主机A开放其所有端口,主机B仅开放“53”、“25”与“110”端口,用户组C仅开放其“53”与“80”端口,其余主机均禁止。
【设置】:
1、 用户组设置
a. 进入”用户管理”界面,点击”组设置”标签,添加组名”用户组C”。
b. 点击”用户设置”标签,点击批量处理,添加IP地址,IP地址范围192.168.1.20-192.168.1.30。用户名为”用户C1-用户C11”
c. 点击”视图”标签,将用户C1-C11全部加入到用户组C中,点击保存。
2、 开放所有IP的“53”端口。
生效接口域:ER访问控制为双向检测,即具有方向性,设置内网到外网的策略,则生效接口域应选择“LAN”,外网到内网的策略,生效接口域应选择“WAN”。
注意:必须选择正确的生效接口域,否则所设置规则将不生效。
3、开放主机“192.168.1.10”的所有服务。
4、开放主机“192.168.1.11”收发电子邮件权限
5、开放主机用户组C“192.168.1.20-192.168.1.30”浏览网页权限
6、访问控制缺省策略为“允许”,所以需要再添加一条规则禁止其他服务
规则完成如下图:
相关文章
背景 出于安全和管理方便的考虑,必须把大型局域网按功能或地域等因素划成一个个小的局域网,这就使VLAN技术在网络中得以大量应用,而各个不同VLAN间的通信都要经过路由来完成转......
2017-02-06 200
这篇文档就 TP-LINK 企业级路由器的IP QoS功能的详细设置过程。 首先简单介绍一下企业级路由器IP QOS功能与SOHO级路由器IP带宽控制不同之处。 下面两个图中上图是SOHO级路由器R460IP带宽控......
2016-10-13 200 宽带路由器