【导语】“夏天擦防晒”通过精心收集,向本站投稿了9篇用访问控制列表实现网络单向访问服务器教程,以下是小编整理后的用访问控制列表实现网络单向访问服务器教程,希望能够帮助到大家。
- 目录
篇1:用访问控制列表实现网络单向访问服务器教程
简易拓扑图(所有子网掩码均为255.255.255.0):
PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]
做网络的单向访问其实实现的是防火墙的基本功能:我是内网,你是外网,我能访问你,但你不能访问我,
所以现在假设RouterA的E0口所连网段为内网段,RouterA S0所连的网段为外网段,还假设我想做的是内网的PC机能ping通外网RouterB的S1口,但RouterB却ping不进我的内网。
用ACL来实现类似的单向访问控制需要用到一种特殊的ACL,叫Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是outbound的配置,一部分是inbound的配置。
在继续下面的说明之前,先说点题外话。在最开始想到单向访问问题时,我(也包括其它一些我的同事)自然的就这么想:那我在E0口上允许PC的流量进来,然后再在S0口上禁止RouterB的流量进来不就行了?看上去好像没什么问题,但一试就知道其实是不行的。为什么不行呢,因为很多人都忽略了这么一个问题:即绝大多数的网络流量都是有去有回的,上面的方法只解决了去的问题,但这个流量在到达RouterB后,RouterB还需要返回这个流量给PC,这个返回的流量到了RouterA的S0口,但上面的方法却在S0口上禁止了RouterB的流量进来,回来的流量被挡住了,通讯失败。
好,下面再切回来。Reflexive ACL中outbound的部分决定了我出去的哪些内网网络流量是需要被单向访问的,inbound部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的PC机,
Reflexive ACL中outbound的部分:
ip access-list extended outbound_filter
permit icmp any any reflect icmp_traffic
permit ip any any
!---注意在Reflexive ACL中只能用named方式的ACL,不能用numbered方式的ACL。
!---基本配置和普通ACL并没有什么太多不同,不同之处是reflect icmp_traffic,它的意思是这条ACE作为单向流量来处理,并且给了一个名称叫icmp_traffic,icmp_traffic在inbound部分被引用。
!---permit ip any any并不是必要的,加在这里是为了另一个测试,下面会说明。
Reflexive ACL中inbound的部分:
ip access-list extended inbound_filter
evaluate icmp_traffic
deny ip any any log
!---inbound的配置有和普通ACL有点不同了,第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用,也就是说,它要检查从外网进来的流量,如果这个流量确实是从内网发起的对外访问的返回流量,那么允许这个流量进来。
篇2:用访问控制列表实现网络单向访问
简易拓扑图(所有子网掩码均为255.255.255.0):
PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]
做网络的单向访问其实实现的是防火墙的基本功能:我是内网,你是外网,我能访问你,但你不能访问我,
所以现在假设RouterA的E0口所连网段为内网段,RouterA S0所连的网段为外网段,还假设我想做的是内网的PC机能ping通外网RouterB的S1口,但RouterB却ping不进我的内网。
用ACL来实现类似的单向访问控制需要用到一种特殊的ACL,叫Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是outbound的配置,一部分是inbound的配置。
在继续下面的说明之前,先说点题外话。在最开始想到单向访问问题时,我(也包括其它一些我的同事)自然的就这么想:那我在E0口上允许PC的流量进来,然后再在S0口上禁止RouterB的流量进来不就行了?看上去好像没什么问题,但一试就知道其实是不行的。为什么不行呢,因为很多人都忽略了这么一个问题:即绝大多数的网络流量都是有去有回的,上面的方法只解决了去的问题,但这个流量在到达RouterB后,RouterB还需要返回这个流量给PC,这个返回的流量到了RouterA的S0口,但上面的方法却在S0口上禁止了RouterB的流量进来,回来的流量被挡住了,通讯失败。
好,下面再切回来。Reflexive ACL中outbound的部分决定了我出去的哪些内网网络流量是需要被单向访问的,inbound部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的PC机。
Reflexive ACL中outbound的部分:
ip access-list extended outbound_filter
permit icmp any any reflect icmp_traffic
permit ip any any
!---注意在Reflexive ACL中只能用named方式的ACL,不能用numbered方式的ACL。
!---基本配置和普通ACL并没有什么太多不同,不同之处是reflect icmp_traffic,它的意思是这条ACE作为单向流量来处理,并且给了一个名称叫icmp_traffic,icmp_traffic在inbound部分被引用。
!---permit ip any any并不是必要的,加在这里是为了另一个测试,下面会说明。
Reflexive ACL中inbound的部分:
ip access-list extended inbound_filter
evaluate icmp_traffic
deny ip any any log
!---inbound的配置有和普通ACL有点不同了,第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用,也就是说,它要检查从外网进来的流量,如果这个流量确实是从内网发起的对外访问的返回流量,那么允许这个流量进来,
!---注意deny ip any any log这句,虽然这句也是不必配的,因为是默认的deny ip any any,但我加了log来对上面outbound部分的permit ip any any进行测试。
Reflexive ACL中应用到接口的部分:
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip access-group inbound_filter in
ip access-group outbound_filter out
!---这里也有一些讲究,ACL outbound_filter被应用到外网口的out方向,ACL inbound_filter被应用到外网口的in方向,in和out不能搞混。
好,现在进行测试,在10.1.1.2上ping 192.1.1.2,通了,RouterB上则ping不通10.1.1.2。
现在还余下一个问题:路由器既然已经deny了外网进来的所有流量,那么它是怎么允许内网出去的返回流量进来呢?
它是通过创建动态生成的ACL来允许返回流量的,下面看看show access-list的结果:
……
Reflexive IP access list icmp_traffic
permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)
……
这些动态ACL可通过TCP的FIN/RST包来动态自动消除,对ICMP这样stateless的包来说,是通过内置的timer来消除的,这点可通过上述show access-list结果中的(time left 196)来核实。
最后再说说那另一个测试,也就是两个ACL中加的多余的东西:
ip access-list extended outbound_filter
permit ip any any
ip access-list extended inbound_filter
deny ip any any log
我在10.1.1.2上发起一个到192.1.1.2的TELNET连接,这个流量到了S0口后由ACL outbound_filter中的permit ip any any检测后放行。到了RouterB后,RouterB进行处理然后返回流量,这个流量到了S0口后由inbound_filter检测,因为evaluate icmp_traffic中并没有包含对TCP类型流量的检测,这个包由deny ip any any log一句处理后丢弃并生成日志:
00:24:28: %SEC-6-IPACCESSLOGP: list inbound_filter denied tcp 192.1.1.2(23) ->10.1.1.2(1483) 1 packet
好,最后的最后,如果Reflexive ACL是做在内网口上,而不是在外网口上,该怎么写呢?呵呵,这个问题就留给你了。
篇3:访问控制列表如何设置
问:路由器的访问控制列表是如何设置的?
答:访问控制列表是一种包过滤技术,分为标准访问控制列表(编号为1到99)和扩展访问控制列表(编号为100到199)两类,
标准访问控制列表主要是对源地址的控制,适用于所有的协议。以Cisco2600路由器为例,假设允许192.168.1.0网段内的所有机器通过路由器出去,那么设置如下:
access-list 1 permit 192.168.1.0 0.0.0.255
interface serial 0
ip access-group 1 out
其中,0.0.0.255为该网段的通配符掩码,
非标准访问控制列表可以实现对源地址和目的地址的双重控制,还可以只针对某一协议作控制。以Cisco路由器为例,假设拒绝192.16.1.0网段内的所有机器通过80端口从路由器访问新浪网站,操作如下:
access-list 101 deny tcp 192.168.1.0 0.0.0.255 www.sina.com.cn eq 80
access-list 101 permit any any
interface serial 1
ip access-group 101 out
篇4:Linux访问控制列表(ACL)Linux
传统UNIX系统的访问控制方法是非常简单的,它把用户分成三类:文件的拥有者、组成员和其他用户,很显然,这种访问控制模型过于简陋了。随着对 Linux系统 安全 性要求的提高,需要一种更细粒度的访问控制模型来代替传统UNIX系统的访问控制模型。使用ACL(Access
传统UNIX系统的访问控制方法是非常简单的,它把用户分成三类:文件的拥有者、组成员和其他用户。很显然,这种访问控制模型过于简陋了。随着对Linux系统安全性要求的提高,需要一种更细粒度的访问控制模型来代替传统UNIX系统的访问控制模型。使用ACL(Aclearcase/“ target=”_blank“ >ccess Control List,访问控制列表)系统,系统管理员能够为每个用户(包括root用户在内)对文件和目录的访问提供更好的访问控制。在POSIX中定义了一种访问控制叫做POSIX ACL,可以实现基于单独用户的控制,目前的大多数Linux访问控制工程都是以此为基础Linux访问控制列表(ACL)- -
相关链接:
一、Extended attributes and access control lists
acl.bestbits.at
acl.bestbits.at/about-acl.html
二、Linux Trustees ACL project
trustees.sourceforge.net/
三、ea/acl访问控制系统介绍
www.linuxaid.com.cn/articles/7/9/794686264.shtml
四、Grsecurity ACL系统(一)
www.chinalinuxpub.com/read.htm?id=1261
linuxaid.com.cn/articles/1/1/118781745.shtml
Red Hat Linux 9 发行注记 写到:
特殊备注:在前两个公开 beta 发行版本中添加到内核的ACL 支持被证明尚不稳定,并导致了内核退化。因此,Red Hat在 Red Hat Linux 9 中将 ACL 支持从内核中删除了。内核工程师将会继续致力于提供 ACL 支持的工作,它将会在未来的发行版本中提供。为方便那些希望测试ACL 的用户和开发者,ACL 支持所需的 attr 和 acl 软件包仍被包括了。若未来的测试演示了 ACL 支持质量有显著提高,Red Hat 可能会自行决定通过升级方式为本次发行的Red Hat Linux 提供 ACL 支持。
Red Hat Linux 8.0.94 发行注记 写到:
用于 ext3 的 EA(扩展属性)和 ACL(访问控制列表)
Red Hat Linux 8.0.94 包含为 ext3 文件系统提供 EA 和 ACL 支持的内核。它根据的补丁和用户级别工具来自:
acl.bestbits.at/
为了在文件系统上启用 ACL,这个文件系统必须使用 -o acl 挂载选项来被挂载。
从本质上讲,EA 用于 ACL 支持。为了要分开使用 EA,文件系统必须使用 -o user_xattr 挂载选项被挂载。
对它的支持分散在几个软件包中:
- kernel ― 提供在磁盘上为 ext3 文件系统贮存 EA 和 ACL 的支持,以及对操作 EA 和 ACL 的系统调用的支持。内核软件包终于提供了强化文件访问上的 ACL 的机制。
- e2fsprogs ― 包括了对新添的在磁盘上的扩展属性格式的知识,因此 fsck 能够使用新特性来检查文件系统。
- attr, libattr ― 提供对文件附属的扩展属性的访问。
- acl, libacl ― 提供设置、修改、和查询文件上 ACL 设置的工具。
- libattr-devel, libacl-devel ― 使用 acl 和 attr 库来建构文件所需的库和包含文件。
- star ― 一种归档工具。它可以创建和拆开tar 和 pax 格式的归档,还可以备份并恢复 EA 和 ACL。
- samba ― 在本次发行版本中,Samba 能够导出 ACL 功能。关于如何在你的配置中启用这项功能的信息,请参阅 samba 的文档。
除此之外,coreutils 软件包已被更新。因此 cp 和 mv 命令将会复制文件附属的 ACL 和 EA。
关于设置和读取 ACL 的更多信息,请参阅 setfacl 和 getfacl 的说明书(man)页。关于ACL 的常规信息可以在 acl 的说明书(man)页找到。你还可以在前面提到的 bestbits 网站上找到更多关于 EA 和 ACL 的常规信息。
注意:普通的 tar 和 dump 命令不能备份 ACL 和 EA。
与较老系统的兼容性:
没有设置 ACL 或 EA 的任何 ext3 文件系统在较老的内核上将与从前的运行方式相同,并可以使用较老的 e2fsprogs 工具来检查。
一旦某个在任一给定文件系统上的文件被设置了 EA 或 ACL,那个文件系统将会得到 ext_attr 属性。你可以看到该属性使用以下命令:
tune2fs -l
已得到 ext_attr 属性的文件系统可以使用老内核来挂载,但是很明显,那些内核将不会强制对已被设置的 ACL 的使用,
注意:文件系统检查程序 e2fsck 的较老版本将会拒绝检查这样的文件系统。
Red Hat Linux 7.3.93 发行注记 写到:
该 beta 版本包括为 ext3 文件系统提供 EA 和 ACL 支持 的内核,它以 acl.bestbits.at/ 中的补丁和用户级别工具为 基础。
对 EA 和 ACL 的支持包括在几个软件包中:
kernel ― 提供对在 ext3 文件 系统磁盘上贮存 EA 和 ACL 的支持;提供操作 EA 和ACL 的系统 调用程序;提供在文件访问上实施 ACL 的机制。
e2fsprogs ― 包括新添的 on-disk 扩展属性格式的知识,因此 fsck 可以使用这项新功能来检查 文件系统。
attr ― 提供到连接在 libattr 文件 的扩展属性的访问。
acl ― 提供设置、修改和查询文件上 的 ACLs libacl 集合的工具
libattr-devel ― 使用 libacl-devel、acl、和 attr 库来建构程序所需的库和标头文件。
star ― 可以创建和解包以 .tar 和 .pax 格式归档的归档工具,它们可以备份并 恢复 EA 和 ACL。
samba ― samba 软件包带有 ACL 支持。在 Samba 中配置 ACL 支持的选项 有许多种,你需要阅读 Samba 文档来利用这项功能。
另外,fileutils 软件包已被更新, 因此,cp 和 mv 可以复制与文件相关的 ACL 和 EA。
参阅 setfacl 和 getfacl 的说明书页(在 shell 提示下键入 man setfacl 和 man getfacl 来阅读)可获取设置和读取 ACL 的信息。 在 shell 提示下键入 man 5 acl 来阅读关于 ACL 的 常规信息。你还可以在前面提到的 bestbits 网站中找到关于 EA 和 ACL 的 一般信息。
注记:普通的 tar 和 dump 命令将 不会 备份 ACL 和 EA。
和老系统的兼容性:
任何没有 ACL 或 EA 的 ext3 文件系统会在老内核 上照常运行,可以使用旧有的 e2fsprogs 工具来检查。
一旦 EA 或 ACL 被设置在给定文件系统上的任何一个文件 上,该文件系统将会有 ext_attr 属性,你可以使用“tune2fs -l” 在文件系统设备上看到。这样的文件系统可以使用老版本 的内核挂载,但是这些老内核将不会实施任何已设置的 ACL。 可是,老版本的 e2fsprogs 中的 e2fsck 将会拒绝检查这样的文件系统。
Samba(need re-compile)+XFS Filesystem(need patck), Samba将允许像 NT 的 ACL(访问控制列表)那样的 Windows 文件共享。
参考:
一、
www-900.ibm.com/developerWorks/cn/linux/server/samba/samba2.2/
Samba 2.2 内幕 写到:
ACL 支持
Samba 2.2 另一个不可思议的绝妙特性是对访问控制表 (ACL) 的新支持。你们当中许多人都知道,Windows NT 和 2000 使用 ACL 来设置对文件和目录的许可权,与大多数 UNIX 系统所使用的传统“一个用户一个组”的解决方案相比,它们提供的对许可权的控制更为细密。以前,Samba 没有办法直接将 ACL 存储在文件系统上,因为那时还没有可用的 Linux 的 ACL 支持。 但现在,我们开始看到了 ACL 支持的开端 -- 当前有 Linux 内核 2.4.3 的 ACL 内核补丁可用(请参阅下面的参考资料),以及一些用户空间工具。ACL 支持目前在 Samba 2.2.0 中得到了完全支持。
尽管 Samba 2.2.0 支持 ACL,但目前在内核和文件系统中启用 ACL 支持时还是需要许多棘手的步骤。因为标准 ext2 文件系统无法存储 ACL 信息,所以需要首先安装支持 ACL 的特殊 ext2 版本;这将对内核进行修补和重新编译,并升级系统上的所有 ext2 实用程序。
不过,如果您执行了所有这些操作,将可以在 Linux 上使用 Samba 的 ACL 支持。设置完毕后,Samba 将保留 NTFS ACL,而不是将 ACL 许可权映射成不太灵活的标准 UNIX 许可权方案。这是件好事。设想一下:与 winbind 结合在一起的 ACL 支持将允许基于 Linux 的系统“吸收”Windows NT 用户、组和 ACL 许可权。非常惊人的成就!
但现在,Linux 下的 ACL 支持还处于初级阶段。几乎每个备份程序都不备份 ACL 信息,意味着除非采取一些特殊手段,否则将很容易丢失 ACL。当然,ACL 支持在文件系统级别上几乎不存在(只有修补过的 ext2 版本和当前提供 ACL 支持的 SGI 的 XFS -- 请参阅下面的参考资料)这一事实使得用 ACL 支持 Linux 系统成为一项非常艰难的任务。 不过,因为 Linux 发行版最终在缺省情况下将启用 ACL,这一过程也将变得越发容易。
二、
listas.conectiva.com.br/listas/linuxisp-br/arquivo/2002/11/msg00009.html
三、
linux-xfs.sgi.com/projects/xfs/mail_archive/200208/msg00477.html
本文出自www.linuxfans.org/nuke/modules.php?file=viewtopic&name=Forums&p=3960551
原文转自:www.ltesting.net
篇5:如何控制局域网服务器的安全访问服务器教程
随着Internet技术的飞速发展,Web技术得到广泛应用,而安全问题一直都是Internet的一个薄弱环节,任何连接到Internet或者其他网络的计算机都有可能受到 的攻击。
从国际www安全小组CERT(Computer Emergency Response Team)的统计资料来看,Internet中与www相关的安全事故呈逐年上升趋势。www安全主要包括三个方面:Web服务器安全、主机安全和传输安全。由于服务器端操作系统的安全漏洞、www服务软件本身存在问题和服务器端的错误配置等等一些问题,导致web服务器存在一定的安全隐患;网络病毒、恶意代码和系统配置不当等等是对主机的安全威胁;Internet是连接Web客户机和服务器通信的信道,攻击者可以利用嗅探程序,侦听信道,以获取机密信息。这些多种多样的安全威胁给人们的日常生活和经济生活造成很 烦。
这里重点讨论如何加强web服务器安全。市场上有许许多多的web服务器,例如:Apache、IIS、Zeus、iPlanet、AOLserver和Jigsaw等等。
一、加强Web服务器安全的措施
无论何种类型的Web服务器,其基本的安全问题是相同的,这就是:安全配置、身份认证和访问控制等。加强Web服务器安全的主要措施如下:
(1)合理配置Web服务器
主要措施有:①具有合法权限的用户才可以运行web服务器;②通过某个IP地址、IP地址段或者某个域来控制,未被允许的IP地址、IP地址段或某个域发出来的请求将被拒绝;③通过用户名/口令来控制,只有输入正确的用户名/口令时,才允许访问,
(2)设置Web服务器有关目录的权限
(3)审阅日志文件
日志文件是web服务器工作的记录。它记录了系统每天发生的各种各样的情况,可以通过它来检查故障发生的原因,或者受到攻击时攻击者留下的痕迹。日志的主要功能是:审计和监测。它还可以实时监测系统状态,监测和追踪入侵者等等。
(4)进行必要的数据备分
定期对web服务器做安全检查,安全管理Web服务器。这里以Apache服务器为例,介绍上述安全措施的具体实施方案。
二、设置Web服务器有关目录的权限
为了更好地维护Web服务器安全,管理员应对“服务器根目录”(日志文件和配置文件存放目录)和“文档根目录”(默认的客户文档存放目录)做严格的访问权限控制。
(1)服务器根目录下存放配置文件、错误和日志文件等敏感信息,它们对系统的安全至关重要,不能随意读取或删改。
(2)一般,Web服务器由root用户启动,然后切换为由user指令所指定的用户。在根目录下执行命令时需注意非root对其操作无效。不仅文件本身,目录及其父目录都只有root具有写的权限。如果允许非root用户对由root执行或读写的文件有写权限,则会危及系统。
(3)文档根目录定义Web服务器对外发布的超文本文档存放的路径,客户程序请求的URL就被映射为这个目录下的网页文件。这个目录下的子目录,以及使用符号连接指出的文件和目录都能被浏览器访问,只是要在URL上使用同样的相对目录名。
符号连接虽然逻辑上位于根文档目录之下,但实际上可以位于计算机上的任意目录中,因此可以使客户程序能访问那些根文档目录之外的目录,这在增加了灵活性的同时也减少了安全性。Apache在目录的访问控制中提供了FollowSymLinks选项来打开或关闭支持符号连接的特性。
篇6:用Server 2003建匿名访问服务器服务器教程
近年来,随着学校信息化的飞速发展,很多学校已经在互联网上建立了自己的网站,但对Web页的日常维护和管理都是通过远程服务器进行,有诸多不便,比如发现网页中错了一个字,就得先修改文件,再上网上传到远程服务器中进行更新,那么为什么不考虑架设学校自己的Web服务器,来更加方便地管理自己的网站呢。在微软新近推出的Windows Server 2003中,网络服务方面的能力大大加强。下面笔者给大家简单介绍一下如何利用Windows Server 2003中的IIS(Internet信息服务)建立一个可以提供WWW服务的匿名访问Web服务器。
安装IIS
微软的IIS是当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,可提供WWW、FTP、Gopher等服务,具备了组建网站的必要条件。Windows Server 2003中集成了IIS6.0,与以往的版本相比,IIS6.0提供了许多新的特性如“服务器合并”等,从而提高了Web服务器的可靠性和可用性,同时也使Web服务器的配置和管理工作变得比以往更加轻松和灵活。
安装IIS或更改其可选组件,可选择“开始→控制面板→添加或删除程序→添加/删除Windows组件”,单击“组件”中的“应用程序服务器”,然后单击“详细信息”。在“应用程序服务器”的子组件下,单击“Internet信息服务(IIS)”,然后单击“详细信息”,打开IIS可选组件列表,选择“万维网服务”组件,单击[确定]按钮,返回“Windows组件向导”,单击[下一步]按钮,开始安装IIS,安装完成后退出“Windows组件向导”。
启用匿名身份验证
单击“开始→管理工具→Internet信息服务(IIS)”。展开服务器名称,右键单击Web站点,选择属性,打开Web站点属性对话框,单击“目录安全性”选项卡,
在“身份验证和访问控制”下,单击[编辑]按钮,选中“启用匿名访问”复选框。
默认情况下,服务器会创建并使用账户IUSR_computername(计算机名)。匿名用户账户密码仅在Windows中使用;匿名用户不使用用户名和密码登录。
“用户访问需经过身份验证”下,单击“集成Windows身份验证”复选框,将其选中,单击[确定]按钮两次。请见图1。
配置初始Web站点
单击“开始→管理工具→Internet信息服务(IIS)”,展开服务器名称,然后展开Web站点,右键单击默认Web站点,然后单击“属性”,选中“网站”选项卡,在IP地址框中选择您要指定给此Web站点的IP地址。请见图2。
单击“性能”选项卡,此对话框可设置影响内存、带宽使用和Web连接数量的属性。选中“限制可用于此Web站点的带宽”复选框,可将网络带宽调节到选定的最大带宽量,以千字节每秒(KB/s)为单位。选中“Web服务连接”复选框,可选择特定数目或者不限定数目的Web服务连接。限制连接可使计算机资源能够用于其他进程。注:每个浏览Web站点的客户机通常都使用大约三个连接。
设置Web页目录
单击“主目录”选项卡。如果使用存储在本地计算机上的Web内容,则单击“此计算机上的目录”,然后在本地路径文本框中键入Web页所在的路径。例如,默认路径为C:Inetpubwwwroot。
如果使用存储在另一台计算机上的Web内容,则单击“另一计算机上的共享位置”,然后在显示的网络目录框中键入所需位置。
如果您要使用存储在另一个Web地址的Web内容,则单击“重定向到URL”,然后在“重定向到”框中键入所需位置。在“客户会送到”下,单击相应的复选框,将其选中。
至此,一个基于Windows Server 2003的能提供WWW服务的匿名访问Web服务器就设置完成了,网管员现在可以通过这个服务器方便地维护和更新网站Web页,轻松管理学校的网上家园了
篇7:设置服务器的访问控制
使用此节描述的指令来控制访问服务器的资源,
你按照用于访问那些文件的请求来把保护设置与文件组进行链接。使用DefProt 和Protect指令来定义你想要保护的请求。
可在单独的保护文件或直接在配置文件中定义实际的保护设置。在配置文件内定义, 可用Protection指令来定义和命名(标签)一个保护设置。也可直接在DefProt或Protect指令中定义一个保护设置。
本节还描述了定义一个保护设置的子指令。
参看”保护服务器“中关于保护服务器资源的每一步的指示。
DefProt - 指定匹配一个模板的请求的缺省保护设置
使用该指令来把缺省保护设置和匹配模板的请求联系起来。 注意: 要使保护正确工作, 配置文件中在任何Pass或Exec 指令之前必须放置DefProt和Protect指令。
该指令的格式为:
DefProt request-templatesetup
注意: 指令必须在一行内输入,尽管这里显示的是两行。
request-template
你想要与缺省保护设置联系的请求模板。服务器对进入的客户请求和模板进行比较,在找到一个匹配的模板时与一个保护设置联系起来。
保护对于匹配模板的请求实际上没有被激活,除非请求也与后面的Protect指令中的模板相匹配。参看有关Protect指令的描述,以了解与DefProt一起使用的方法。
setup
你想要把它与匹配请求模板的请求联系起来的缺省保护设置。保护设置用保护子指令定义。参看”保护子指令“中关于保护子指令的描述。该参数可用以下三种形式之一:
标识包含保护子指令的单独文件的全路径与文件名。
与前面在Protection指令中定义的名称匹配的保护设置标签名。Protection指令包含保护子指令。
实际的保护子指令。子指令必须用花括号 {}括起来。左花括号字符必须是在与DefProt指令同一行中的最后一个字符。每个子指令有单独的一行。右花括号字符必须在跟在最后一个子指令行后面的单独一行中。在花括号之间不能放置注解行。
FOR Server-IP-address 或 hostname
如果使用多IP 地址或虚拟主机,请使用此参数指定IP 地址或主机名。(要了解使用多IP 地址或虚拟主机的更多信息,参看”运行拥有多个IP地址的服务器或虚拟主机“。) 服务器只对发送服务器此 IP 地址或此虚拟主机的请求使用指令。对于一IP地址, 这是服务器网络连接的地址,而不是正在请求的客户的地址。
可指定一个IP地址(例如, FOR 204.146.167.72) 或指定一个主机名(例如, FOR hostA.bcd.com)。
该参数是可选的。如果没有此参数,服务器对全部请求使用此指令,而不管进入的请求的IP地址或URL中的主机名是什么。
记录:
要使用该参数, 设置参数的形式必须是一个路径与文件名称或一个保护设置标签。设置参数不能使用在花括号之内的子指令。
要使用该参数,必须在设置参数和 IP地址或主机名 之间放置FOR或某些其他字符串 (不含空格)。
通配符不能用于指定服务器的IP 地址。
例:
DefProt /secret/* d:\\server\\protect\\setup1.acc
上例标识包含保护子指令的一个单独文件。
DefProt /secret/* SECRET-PROT
上例用一个标签名来指向保护子指令。标签名必须与Protection指令中的标签名匹配。 Protection指令必须出现在DefProt指令之前。
DefProt {AuthType BasicServerID restrictedPasswdFile d:\\docs\\WWW\\restrict.pwdGroupFile d:\\docs\\WWW\\restrict.grpGetMask authorsPutMask authors}
上例包含作为DefProt指令一部分的保护子指令,
DefProt /secret/* CustomerA-PROT 9.67.106.79DefProt /secret/* CustomerB-PROT 9.83.100.45
上例使用可选的IP地址参数。如果你的服务器收到由 /secret/开头的请求, 则按照请求进入的网络连接的IP地址来把各种缺省保护设置与请求联系起来。对于在9.67.106.79中进入的请求, 服务器把请求与定义在带CustomerA-PROT标签的Protection指令中的缺省保护联系起来。对于在9.83.100.45进入的请求, 服务器把请求与定义在带CustomerB-PROT标签的Protection指令中的缺省保护联系起来。
DefProt /secret/* CustomerA-PROT hostA.bcd.comDefProt /secret/* CustomerB-PROT hostB.bcd.com
上例使用可选的主机名参数。如果服务器收到由 /secret/开头的请求, 则按照URL中的主机名把各种缺省保护设置与请求联系起来。对于进入hostA的请求, 服务器把请求与定义在带CustomerA-PROT标签的Protection指令中的缺省保护联系起来。对于进入hostB的请求, 服务器把请求与定义在带CustomerB-PROT标签的Protection指令中的缺省保护联系起来。
程序缺省设置
无。
初始配置文件设置
无。
Protect - 激活匹配一个模板的请求的保护设置
使用该指令来激活匹配一个模板的请求的保护设置规则 Attention: 要使保护正确工作, 配置文件中在任何Pass或Exec 指令之前必须放置DefProt和Protect指令。
该指令的格式对于两种情况是不同的:你想要指向一个包含保护子指令的标签或文件;你想要包含保护子指令作为Protect指令的一部分。
在你想要指向一个包含保护子指令的标签或文件时,它的格式如下:
Protect request-template ]
注意: 指令必须在一行内输入,尽管这里显示的是两行。
在你想要包含保护子指令作为Protect指令的一部分时,它的格式如下:
Protect 请求模板 {
子指令 值
子指令 值
.
. .
}
request-template
你想要激活保护值的请求模板。服务器对进入的客户请求和模板进行比较,在找到一个匹配的模板时激活保护。
setup-file/label
在指向一个包含保护子指令的标签或文件时,使用该参数来标识你想要激活的匹配请求模板的请求的保护设置。
该参数是可选的。如果该参数省略, 则使用由最近的包含匹配模板的DefPort指令定义的保护设置。
保护设置用保护子指令定义。参看”保护子指令“中关于保护子指令的描述。如果有该参数, 则其可用以下三种形式之一:
标识包含保护子指令的单独文件的全路径与文件名。
与前面在Protection指令中定义的名称匹配的保护设置标签名。Protection指令包含保护子指令。
实际的保护子指令。子指令必须用花括号 {}括起来。左花括号字符必须是在与DefProt指令同一行中的最后一个字符。每个子指令有单独的一行。右花括号字符必须在跟在最后一个子指令行后面的单独一行中。在花括号之间不能放置注解行。
篇8:化繁为简 用访问控制列表跑双网(一)
企业网络配置不是一成不变的,往往使用几年都会遇到应用瓶颈,需要对网络进行升级和改造,这些都可以通过添加新网络设备,以满足扩大的网络需求。但有时网络需要在规模上扩展,这时就非常棘手了。例如笔者负责的教育信息网在最近一次升级过程中就遇到了要在原有教育信息网络的基础上再引入金财网,保证在同一个物理网络中运行两个互相没有联系各自独立的网络。这种跑双网的情况在现实中还是比较常见的,那么我们该如何升级实现这种隔离与兼顾呢?笔者采用的是访问控制列表法来解决的,下面就将实现双网的思路介绍给大家。由于很多内容都是基础命令,这里就不详细罗列出来了仅仅介绍实现思路。
网络现状和需求
当前网络环境:
笔者所在教育信息网络是以区信息中心为核心,核心设备为CISCO 6509。各个下属学校网络作为分支分散在全区147个网络中,分支网络通过电信提供的ATM技术与核心设备CISCO 6509互连,每个学校都有一个路由器作为网络出口,路由器型号为华为3COM的2621设备。
在升级之前学校的计算机要上网的话,首先发送数据包到本学校的交换机,然后交换机将数据传输到学校2621设备上,在2621路由器上通过设置缺省路由指向CISCO 6509的相应接口完成数据的路由工作,最后由CISCO 6509把数据发送到全区网络出口对应的端口,通过光纤连接到北京市。数据接收也是一样的,只是上面过程的逆向传送而已
双网环境需求:
由于财政部门要求区网络中心对网络进行改造,对部分学校开通金财网络。而我们又不可能再花精力和财力用于新建一个网络,所以工作的重点就落在了对目前网络的升级上。如果在目前这样一个接入层与汇聚层组成的网络中再添加一个金财网呢?而且财政部门要求金财网与之前的教育信息网是隔离的,也就是说学校连接金财网的终端是不能够访问连接教育信息网中的主机的。而不同学校之间同属一个网的用户是可以互相访问的,例如A学校金财网用户不能访问A学校的教育信息网终端,却可以访问B学校的金财网。
实现双网运转
实现步骤1DD运转双网:
首先要实现的是在同一个网络中跑两个网络,之后再考虑隔离的问题。由于之前我们使用的网络地址为10.82.*.*,而金财网要求的IP地址信息为192.168.*.*,所以在初始阶段不会存在冲突的问题。另外由于区教育网络的结构比较简单但是分支众多,所以我们只需要针对一个分支学校进行实验,成功后再推广到全区147所分支学校即可。
交换机上设置:
在学校端对于一个教育信息网的用户和一个金财网的用户来说,两者IP地址是不同的,但是他们有可能连接到同一个交换机上,这就需要交换机上设置两套IP地址,最有效的方法就是在交换机上启用VLAN设置,教育信息网络的终端放到VLAN 10中,而对于金财网的终端放到VLAN 20中,之后再给交换机相应VLAN设置一个IP地址即可,从而实现了在交换机上跑双网的功能。
学校路由器上设置:
由于学校端2621路由器采用的是默认路由,也就是说不管你的数据包来源地址是多少,默认地址是多少,路由器都将依据默认路由把数据传输到下一跳地址,
因此教育信息网用户的数据和金财网用户的数据都会由路由器发送到指定的地址,所以学校路由器上设置不用做任何修改。
核心设备CISCO 6509上的设置:
既然是跑双网,那么在核心设备上肯定是有两个网络出口的,一个是连接教育信息网的上层设备,一个是连接金财网的上层设备。所以说在核心设备6509上需要为走金财网的信息设置一个静态路由,将所有目标地址和源地址为金财网的数据包发送到对应的金财网接口。
至此我们就完成了在原有网络基础上跑双网的升级工作,在学校连接金财网接口的用户可以轻松的访问其他学校的金财网用户,也可以通过区核心设备连接到区财政局的金财网络中。不过这时虽然实现了一个物理网跑两个逻辑网的目的,但是连接金财网的终端依然可以访问教育信息网的终端,如何解决呢?就要靠下面的隔离手段了。
实现双网隔离
实现步骤2DD隔离双网:
添加了双网后的关键步骤就是隔离了,否则我们跑双网就没有任何意义了,互相都能访问实际上还是一个网络。隔离双网也需要在多个设备上进行设置操作。
学校交换机上设置:
正如前面提到的那样,在学校交换机上通过划分VLAN的手段实现对两个网络的分离。VLAN 10教育信息网用户是不能够正常访问VLAN 20中的金财网用户的。
学校路由器上的设置:
学校路由器上的隔离操作是非常关键的,在开始阶段这个设置就被笔者忽略了。由于华为3Com 2621路由器有两个接口,一个连接区级核心设备6509,另外一个连接学校的交换机,所以说下行接口是非常关键的,隔离两网的工作也主要由他来完成。
我们通过访问控制列表来实现隔离操作,通过在这个接口上添加访问控制列表ACL来实现两个网络的互相隔离,例如禁止任何来自于教育信息网的IP地址访问金财网的IP地址;禁止任何来自金财网的IP地址访问教育信息网的IP地址。
核心设备CISCO 6509上的设置:
在CISCO 6509上也需要进行设置来隔离两个网络,主要操作是在两个网络出口对应的接口上添加访问控制列表,在金财网外部出口处禁止所有源地址为教育信息网IP的数据通过,在教育信息网外部出口处禁止所有源地址为金财网IP的数据通过。至此我们完成了两个网络的安全隔离,任何一个金财网的用户都无法访问教育信息网的用户,而反之亦然。
总结:
通过访问控制列表ACL实现两个网络隔离可以说是最简单最普通的方法,在实际使用中也没有出现任何安全问题。当然可能有的读者会觉得这个方法会占用一定的系统资源,使路由交换设备的CPU及内存占用率升高。不过由于金财网的数据流量并不大,所以在实际使用中并没有出现类似问题。当然如果各位读者担心这方面会存在问题的话,可以按照之前介绍过的策略路由法来解决。
篇9:访问控制列表的使用原则
由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置,在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则
所有的网络层访问权限控制,
也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
★ windows 文件拒绝访问的解决之道Windows系统
用访问控制列表实现网络单向访问服务器教程(整理9篇)
