使用ACL限制FTP访问权限示例


微信公众号:网络民工 获取更多精彩内容
?组网图形

图1 使用基本ACL限制FTP访问权限组网图

ACL简介

访问控制列表ACL(Access ControlList)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。

本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。

配置注意事项

· 本例中配置的本地用户登录密码方式为irreversible-cipher,表示对用户密码采用不可逆算法进行加密,非法用户无法通过解密算法特殊处理后得到密码,安全性较高,该方式仅适用于V200R003C00及以后版本。在V200R003C00之前版本上配置本地用户登录密码,仅能采用cipher方式,表示对用户密码采用可逆算法进行加密,非法用户可以通过对应的解密算法解密密文后得到密码,安全性较低。

· 本举例适用于S系列交换机所有产品的所有版本。

组网需求

如图1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:

· 子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。

· 子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。

· 其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。

操作步骤

  1. 配置时间段

<HUAWEI> system-view

[HUAWEI] sysnameSwitch

[Switch] time-rangeftp-access from 0:0 2014/1/1 to 23:59 2014/12/31 //配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段

[Switch] time-rangeftp-access 14:00 to 18:00 off-day //配置ACL生效时间段,该时间段是一个周期时间段,表示每个休息日下午14:00到18:00,ftp-access最终生效的时间范围为以上两个时间段的交集

  1. 配置基本ACL

[Switch] aclnumber 2001

[Switch-acl-basic-2001]rule permit source 172.16.105.0 0.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器

[Switch-acl-basic-2001]rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器

[Switch-acl-basic-2001]rule deny source any //限制其他用户不可以访问FTP服务器

[Switch-acl-basic-2001]quit

  1. 配置FTP基本功能

[Switch] ftpserver enable //开启设备的FTP服务器功能,允许FTP用户登录

[Switch] aaa

[Switch-aaa] local-userhuawei password irreversible-cipher [email protected] //配置FTP用户的用户名和密码,其中irreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码

[Switch-aaa]local-user huawei privilege level 15 //配置FTP用户的用户级别

[Switch-aaa]local-user huawei service-type ftp //配置FTP用户的服务类型

[Switch-aaa]local-user huawei ftp-directory cfcard:/ //配置FTP用户的授权目录,在盒式交换机上需配置为flash:/

[Switch-aaa]quit

  1. 配置FTP服务器访问权限

[Switch] ftp acl2001 //在FTP模块中应用ACL

  1. 验证配置结果

在子网1的PC1(172.16.105.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。

2014年某个周一在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器;2014年某个周六下午15:00在子网2的PC2(172.16.107.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。

在PC3(10.10.10.1/24)上执行ftp172.16.104.110命令,不能连接FTP服务器。

配置文件

Switch的配置文件

#

sysname Switch

#

FTP server enable

FTP acl 2001

#

time-rangeftp-access 14:00 to 18:00 off-day

time-rangeftp-access from 00:00 2014/1/1 to 23:59 2014/12/31

#

acl number 2001

rule 5 permit source 172.16.105.0 0.0.0.255

rule 10 permit source 172.16.107.0 0.0.0.255time-range ftp-access

rule 15 deny

#

aaa

local-user huawei password irreversible-cipher%^%#uM-!TkAaGB5=$$6SQuw$#batog!R7M_d^!o{*@N9g‘e0baw#%^%#

local-user huawei privilege level 15

local-user huawei ftp-directory cfcard:/

local-user huawei service-type ftp

#

return


微信公众号:网络民工 获取更多精彩内容

原文地址:https://blog.51cto.com/jiajunjie/2475140

时间: 2024-10-03 14:38:46

使用ACL限制FTP访问权限示例的相关文章

修改文件访问权限

Cacls.exe显示或者修改文件的访问控制表(ACL)CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]               [/P user:perm [...]] [/D user [...]]   filename      显示 ACL.   /T            更改当前目录及其所有子目录中                 指定文件的 ACL.   /E            编辑 ACL 而不替换.

使用Hadoop ACL 控制访问权限

使用Hadoop ACL 控制访问权限 一.HDFS访问控制 hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</value> </property> <property> <name>dfs.namenode.acls.enabled</name> <value>true&l

Linux之acl库的安装与使用(限制Linux某用户的访问权限)

acl库 作用:限制Linux某用户的访问权限 acl库的安装 首先github中下载acl代码: git clone https://github.com/acl-dev/acl 进入acl, 执行make cd acl make 注意: [因为acl是由c/c++编写的,需要提前安装好gcc, g++] 安装到用户根目录: make packinstall 一般到这儿就能编译安装成功了,在/user/include/ 目录下会有acl-lib目录. 如果是centos系统,可直接安装 yum

[添加用户]解决useradd 用户后没有添加用户Home目录的情况,Linux改变文件或目录的访问权限命令,linux修改用户密码,usermod的ysuum安装包。飞

usermod的yum安装包: shadow-utils 将nobody用户添加到nogroup 组: usermod -g nogroup nobody cat /etc/passwd|grep nobody nobody:x:65534:65534:nobody:/var/lib/nobody:/bin/bash 第3个字段是65534:意思就是,UID(用户的ID)是500. 第4个字段是65534:意思就是.GID(用户的组ID)的500. 使用usermod -g nogroup no

.NET 控制Windows文件和目录访问权限研究(FileSystemAccessRule)

前一段时间学习了.net 控制windows文件和目录权限的相关内容,期间做了一些总结.想把这方面的研究跟大家分享,一起学习.其中不免得有些用词不太标准的地方,希望大家留言指正留言,我加以修改. 首先,我们利用一个方法作为示例: /// <summary> /// 为指定用户组,授权目录指定完全访问权限 /// </summary> /// <param name="user">用户组,如Users</param> /// <par

MongoDB 访问权限控制

MongoDB的访问控制能够有效保证数据库的安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录 一,访问控制的参数 1,绑定IP地址 mongod 参数:--bind_ip <ip address> 默认值是所有的IP地址都能访问,该参数指定MongoDB对外提供服务的绑定IP地址,用于监听客户端 Application的连接,客户端只能使用绑定的IP地址才能访问mongod,其他IP地址是无法访问的. 2,设置监听端口 mongod 参数:--por

thinkinginjava学习笔记05_访问权限

Java中访问权限等级从大到小依次为:public.protected.包访问权限(没有关键词).private: 以包访问权限为界限,public.protected分别可以被任意对象和继承的对象访问,而包访问权限(未加关键词的类.方法等)则不能在包外被访问:在一个类中,不能出现相同类成员:在同一个包中,不可以出现相同类: public作为接口访问权限,将一些方法作为public,即将该方法作为接口,供其他程序调用:private权限下,除了包含该成员的类之外,其他任何类都无法访问该成员,用来

ProFTPD配置匿名登录与目录访问权限控制

对ProFTPD服务器配置匿名登录. 查看配置文件proftpd.conf.默认情况下配置文件中的,匿名登录配置User和Group均为ftp.查看/etc/passwd确认用户ftp,是否存在.命令行输入id ftp,查看用户ftp的所在组.查看/etc/group,确定用户组ftp是否存在. 上述步骤中,如果缺少用户或组,新建即可. User    ftp Group ftp UserAlias   anonymous ftp   #设置匿名用户以ftp身份登录 --------------

Java 访问权限控制:你真的了解 protected 关键字吗?

摘要: 在一个类的内部,其成员(包括成员变量和成员方法)能否被其他类所访问,取决于该成员的修饰词:而一个类能否被其他类所访问,取决于该类的修饰词.Java的类成员访问权限修饰词有四类:private,无(默认情况下,包访问权限),protected 和 public,而其中只有包访问权限和public才能修饰一个类(内部类除外).特别地,很多的介绍Java的书籍对protected介绍的比较笼统,常常会对大家造成误解.因此,本文重点揭示了 protected 关键字的内涵和用法,并介绍了一些其他