De acuerdo

Ejemplo de uso de una ACL para restringir los derechos de acceso a FTP

Última respuesta my. 03, 2021 12:38:26 46 1 0 0 0

Descripción general de ACL

Una lista de control de acceso (ACL) consta de una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

 

Una ACL filtra los paquetes según las reglas. Un dispositivo con una ACL configurada hace coincidir los paquetes según las reglas para obtener los paquetes de un cierto tipo y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

 

Dependiendo de los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de información como direcciones IP de origen, información de fragmentos y rangos de tiempo. Si solo necesita filtrar paquetes según las direcciones IP de origen, puede configurar una ACL básica.

 

En este ejemplo, se aplica una ACL básica al módulo FTP para permitir que solo los clientes especificados accedan al servidor FTP, mejorando la seguridad del servidor FTP.

 

Notas de configuración

l  En este ejemplo, la contraseña del usuario local está en modo de irreversible-cipher, lo que indica que la contraseña está cifrada mediante el algoritmo irreversible. Los usuarios no autorizados no pueden obtener la contraseña mediante el descifrado. Por tanto, este algoritmo es seguro. Este modo de contraseña solo se aplica a V200R003C00 y versiones posteriores. En versiones anteriores a V200R003C00, las contraseñas de los usuarios locales solo pueden estar en modo cifrado, lo que indica que las contraseñas están cifradas mediante el algoritmo reversible. Los usuarios no autorizados pueden obtener las contraseñas mediante el descifrado. Este algoritmo es menos seguro.

 

l  Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.


Requisitos de red

Como se muestra en la Figura 1, el Switch funciona como un servidor FTP. Los requisitos son los siguientes:

 

l  Todos los usuarios de la subred 1 (172.16.105.0/24) pueden acceder al servidor FTP en cualquier momento.

l  Todos los usuarios de la subred 2 (172.16.107.0/24) pueden acceder al servidor FTP solo durante el período de tiempo especificado.

l  Otros usuarios no pueden acceder al servidor FTP.

 

Existen rutas accesibles entre el Switch y las subredes. Debe configurar el switch para limitar el acceso de los usuarios al servidor FTP.

 

Figura 1 Uso de ACL básicas para restringir los derechos de acceso a FTP


switch


Procedimiento

1. Configurar un rango de tiempo


<HUAWEI> system-view
[HUAWEI] sysname Switch

//Create an absolute time range for an ACL.

[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 

//Create a periodic time range for an ACL. The time range is 14:00-18:00 on every weekend. The validity period of ftp-access is the overlap of the two time ranges.

[Switch] time-range ftp-access 14:00 to 18:00 off-day

 

2. Configurar una ACL básica


Switch] acl number 2001

//Allow users on network segment 172.16.105.0/24 to access the FTP server anytime.

[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255  

//Allow users on network segment 172.16.107.0/24 to access the FTP server only in the ftp-access time range.

[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access  

//Prevent other users from accessing the FTP server.
[Switch-acl-basic-2001] rule deny source any  
[Switch-acl-basic-2001] quit

  

3. Configurar funciones básicas de FTP


//Enable the FTP server to allow users to log in to the device through FTP.

[Switch] ftp server enable  
[Switch] aaa            

//Configure the FTP user name and password. The password in irreversible-cipher mode only applies to V200R003C00 and later versions. In versions earlier than V200R003C00, only the passwords in cipher mode can be used.

[Switch-aaa] local-user huawei password irreversible-cipher SetUserPassword@123  


[Switch-aaa] local-user huawei privilege level 15  //Set the FTP user level.
[Switch-aaa] local-user huawei service-type ftp  //Set the FTP user service type.

//Configure the FTP working directory, which must be configured as flash:/ on a fixed switch.
[Switch-aaa] local-user huawei ftp-directory cfcard:/  
[Switch-aaa] quit

  

4. Configurar permisos de acceso en el servidor FTP

[Switch] ftp acl 2001  //Apply an ACL to the FTP module.


5. Verifique la configuración.

Ejecute el comando ftp 172.16.104.110 en la PC1 (172.16.105.111/24) en la subred 1. La PC1 puede conectarse al servidor FTP.

 

Ejecute el comando ftp 172.16.104.110 en la PC2 (172.16.107.111/24) en la subred 2 el lunes de 2014. La PC2 no se puede conectar al servidor FTP. Ejecute el comando ftp 172.16.104.110 en la PC2 (172.16.107.111/24) en la subred 2 a las 15:00 un sábado de 2014. La PC2 puede conectarse al servidor FTP.

 

Ejecute el comando ftp 172.16.104.110 en PC3 (10.10.10.1/24). PC3 no se puede conectar al servidor FTP.


Saludos.


FIN.


También te puede interesar:

Switches de la serie S7700: Los Switches de enrutamiento inteligente de Huawei.

Introducción a las características del switch S5700 de Huawei.

Conoce los escenarios de aplicación de los switches S2700, S5700 y S6700

Compilaciones sobre mejores prácticas para la tecnologia VXLAN en switches CloudEngine de Huawei


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de router de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


La publicación está sincronizada con: Configuraciones típicas para switches.

  • x
  • convención:

user_3915171
Publicado 2021-5-3 12:38:26
buenisimo, gracias
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.