最简单且唯一需要的纯互联网访问控制列表(ACL)配置指南

本文详细介绍了如何为IoT设备、Roku电视和无线访客网络配置仅允许互联网访问的ACL规则,通过四条简洁规则阻止对内部RFC-1918地址的访问,确保网络安全隔离。

最简单且唯一需要的纯互联网访问控制列表(ACL)配置指南

作者:Jordan Drysdale
Jordan在科技行业已有25年经验,因Napster而深陷技术领域。作为Black Hills Information Security团队十年成员,他以多种角色参与工作,并作为讲师助力Antisyphon Training的显著成长。

内容摘要

实施以下ACL,使用任何网络设备、云ACL配置或简易防火墙来保护您的网络。本例中,我们的IoT设备位于10.99.99.0/24网段。同时,避免在内部网络使用非RFC 1918地址。根据您的配置,以下伪逻辑格式(<允许或拒绝> <源IP> <目标IP> <协议>)应普遍适用:

1
2
3
4

deny 10.99.99.0/24 10.0.0.0/8 any 
deny 10.99.99.0/24 172.16.0.0/12 any 
deny 10.99.99.0/24 192.168.0.0/16 any 
allow 10.99.99.0/24 0.0.0.0/0 any

详细版本

想象一下——您正在为Roku电视、IoT设备和无线访客实施一个新的网络块。它们都需要互联网访问,但绝不需要访问其他任何资源。当它们从您的网络获取DHCP租约时,应在租约提供中提供一个或两个公共DNS服务器。并非所有解析器都相同,但OpenDNS等可能提供比其他更好的隐私保护。

一旦您的主机被提供一个或两个公共IP地址进行名称解析,以下ACL将通过四条简短而有效的规则,阻止您的电视访问任何RFC-1918地址。此特定配置将防止这些主机访问标准内部网络范围内的任何地址:

1
2
3
4

deny 10.99.99.0/24 10.0.0.0/8 any 
deny 10.99.99.0/24 172.16.0.0/12 any 
deny 10.99.99.0/24 192.168.0.0/16 any 
allow 10.99.99.0/24 any any

这将允许该网段与任何公共IP地址通信。仅此而已。

感谢阅读,
-jd

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次