前言
业务需求
需要在三层核心交换机(S5700)上通过MAC地址限制终端访问外网(刷抖音),但不影响其访问内网其它网段。
网络拓扑
【----帮助网安学习,以下所有学习资料文末免费领!----】
方案1
说明:下面示例以内网网段为192.168.0.0/16,限制两台终端的MAC地址为例。如果还需要增加限制的终端,参见绿色部分继续增加ACL规则即可。
配置思路:通过高级ACL允许内网互访,通过二层ACL拒绝MAC地址,然后在同一个策略中应用两个CB对(先允许内网IP互访,再拒绝终端MAC)。
#
acl number 3001 //定义访问规则,允许内网网段互访
rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
#
acl number 4001 //定义访问规则,只拒绝某个终端的MAC地址
rule 5 deny source-mac 5489-9887-5c67
rule 10 deny source-mac 5489-98a4-196e
#
traffic classifier lan.ip operator and
if-match acl 3001
traffic classifier deny.smac operator and
if-match acl 4001
#
traffic behavior test1
#
traffic policy test1 //这果要注意配置CB对的顺序(先允许内网IP互访,再拒绝终端MAC)
classifier lan.ip behavior test1
classifier deny.smac behavior test1
#
traffic-policy test1 global inbound //在全局应用流策略
#
方案2
说明:下面示例以内网网段为192.168.0.0/16,限制两台终端的MAC地址为例。如果还需要增加限制的终端,参见绿色部分继续增加相应的CB对即可。
配置思路:通过高级ACL制定不允许访问外网的规则,再利用流分类的逻辑“与”的关系,将高级ACL和源MAC作为条件进行访问控制。
#
acl number 3002 //定义访问规则,只允许访问内网网段
rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 1000 deny ip
#
traffic classifier deny.smac1 operator and //创建流分类,注意这里必须指定operator为“and”
if-match acl 3002
if-match source-mac 5489-9887-5c67 //设置被限制终端的MAC地址
traffic classifier deny.smac2 operator and
if-match acl 3002
if-match source-mac 5489-98a4-196e
#
traffic behavior test2
#
traffic policy test2
classifier deny.smac1 behavior test2
classifier deny.smac2 behavior test2
#
traffic-policy test2 global inbound //在全局应用流策略
#
注意:流分类中的“与”是指ACL规则与非ACL规则之间的关系,即假设在流分类中同时配置两个ACL(比如高级ACL和二层ACL),设备将会按ACL配置的顺序依次进行匹配,匹配上后则不再匹配后面配置的ACL规则,直接去和非ACL规则进行“与”,而不是这两个ACL之间进行“与”,达不到预期的效果。
总结与建议:
如果有多个终端MAC要拒绝的话,建议使用【方案1】,后期添加终端MAC时更方便。
如果只是临时拒绝单个终端MAC的话,【方案2】相对更简洁。
通过这两个方案,可以让我们对流策略与ACL之间关系的理解更加深入一些。
拿下NISP-SO网络安全证书之后,身为普通的你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到网络技术硬实力
IE大佬年薪可达30w+
如何入门学习网络安全【黑客】
【----帮助网安学习,以下所有学习资料文末免费领!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
CTF比赛视频+题库+答案汇总
实战训练营
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取