學習：網絡層訪問權限控制技術基于時間_網絡服務器

學習：網絡層訪問權限控制技術基于時間

發表于：2007-07-13來源：作者：點擊數：標簽：

href=http://tech.ccidnet.com/pub/article/c322_a80173_p1.htmltarget=_blank 網絡層訪問權限控制技術執行順序》在保證了服務器的數據安全性后，領導又準備對內部員工上網進行控制。要求在上班時間內(9:00-18:00)禁止內部員工瀏覽internet，禁止使用QQ

href="http://tech.ccidnet.com/pub/article/c322_a80173_p1.html"target="_blank">網絡層訪問權限控制技術執行順序》在保證了服務器的數據安全性后，領導又準備對內部員工上網進行控制。要求在上班時間內(9:00-18:00)禁止內部員工瀏覽internet，禁止使用QQ、MSN。而且在2003年6月1號到2號的所有時間內都不允許進行上述操作。但在任何時間都可以允許以其它方式訪問Internet。天哪，這可叫人怎么活呀，但領導既然這樣安排，也只好按指示做了。

首先，讓我們來分析一下這個需求，瀏覽internet現在基本上都是使用http或https進行訪問，標準端口是TCP/80端口和TCP/443，MSN使用TCP/1863端口，QQ登錄會使用到TCP/UDP8000這兩個端口，還有可能使用到udp/4000進行通訊。而且這些軟件都能支持代理服務器，目前的代理服務器主要布署在TCP 8080、TCP 3128（HTTP代理）和TCP1080(socks)這三個端口上。這個需求如下表所示：

然后，讓我們看看ACL應該在哪個位置配置比較好呢？由于是對訪問Internet進行控制，涉及到的是公司內部所有的網段，這們這次把ACL就放到公司的Internet出口處。在RTA上進行如下的配置，就能夠滿足領導的要求了：

time-range TR1
            absolute start 00:00 1 June 2003 end 00:00 3 June 2003
            periodic weekdays start 9:00 18:00
            exit
            ip access-list extend internet_limit
            deny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TR1
            deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1
            deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1
            deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
            deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
            deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1
            deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1
            deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1
            deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1
            permit ip any any
            int s0/0
            ip access-group internet_limit out
            或int fa0/0
            ip access-group internet_limit in
            或者將ACL配置在SWA上，并
            int vlan 3
            ip access-group internet_limit out

現在讓我們來看看在基于時間的訪問列表中都有哪些新內容吧：

time-range TR1：定義一個新的時間范圍，其中的TR1是為該時間范圍取的一個名字。

absolute：為絕對時間。只使用一次?？梢远x為1993-2035年內的任意一個時點。具體的用法請使用？命令查看。

Periodic：為周期性重復使用的時間范圍的定義。完整格式為periodic 日期關鍵字開始時間結束時間。其中日期關鍵字的定義如下所示：

Monday   星期一
            Tuesday   星期二
            Wednesday 星期三
            Thursday   星期四
            Friday     星期五
            Saturday   星期六
            Sunday    星期天
            daily      每天
            weekdays   周一至五
            weekend    周末

access-list 101 deny ip 10.1.0.0 0.0.255.255 any time-range TR1:注意這一句最后的time-range TR1，使這條ACL語句與time-range TR1相關聯，表明這條語句在time-range TR1所定義的時間范圍內才起作用。

注意：給出三種配置位置是幫助大家深刻理解關于in/out的區別的。acl是對從一個接上流入(in)或流出(out)路由器的包進行過濾的。

網管發問了，“你是怎么找到這些應用的所使用的端口的？”。呵呵，在如下文件中可以找到大多數應用的端口的定義：

Win9x:%windir%\services
            WinNT/2000/XP：%windir%\system32\drivers\etc\services
            Linux：/etc/services

對于在services文件中找不到端口的應用，可以在運行程序的前后，運行netstat –ap來找出應用所使用的端口號?！疚赐甏m】

原文轉自：http://www.kjueaiud.com

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > 網絡服務器 >