堡壘機:即在一個特定的網絡環境下,爲了保障網絡和數據不受來自外部和內部用戶的***和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、及時處理及審計定責。因此需要對所有遠程登錄內部的操作進行限制,使其只能通過堡壘機登錄其他服務器,爲誤操作、責任追蹤提供極大便利。
Cisco2960交換機下接服務器,同時在cisco3750交換機上也有一些服務器。
問題描述:客戶希望禁止所有人員直接登錄服務器進行遠程操作,只能以堡壘機爲中介遠程登錄服務器,同時不影響公司其他業務。
解決方法:在覈心交換機接入匯聚交換機口處做命名型訪問控制列表
#ip access-listextend rule
#permit ip anyhost 10.1.1.1(堡壘機IP地址) //允許所有通往堡壘機的流量
#deny tcp any any eq 22 //禁止SSH協議遠程登錄
#deny tcp any any eq 3389 //禁止RDP協議遠程登錄
#permit ip any any //允許所有流量通過,即不影響其他業務
#int port-channel2
#access-group rule in
#int port-channel3
#access-group rule in