最简单且唯一需要的纯互联网访问控制列表(ACL)配置指南

本文详细介绍了如何配置一个简单高效的互联网专用ACL,以隔离IoT设备和访客网络,防止其访问内部RFC 1918地址空间,同时允许互联网访问,提升网络安全性。

最简单且唯一需要的纯互联网访问控制列表(ACL)配置指南

tl;dr
使用您的网络设备、云ACL配置或简单防火墙实现以下ACL。本例中IoT设备位于10.99.99.0/24网段。同时,不要在内部网络使用非RFC 1918地址。根据配置,以下伪逻辑格式(<允许或拒绝> <源IP> <目标IP> <协议>)应普遍适用:

1
2
3
4

deny 10.99.99.0/24 10.0.0.0/8 any 
deny 10.99.99.0/24 172.16.0.0/12 any 
deny 10.99.99.0/24 192.168.0.0/16 any 
allow 10.99.99.0/24 0.0.0.0/0 any

详细版本

想象一下——您正在为Roku电视、IoT设备和无线访客实施一个新的网络块。它们都需要互联网访问,但绝不需要访问其他任何东西。当它们从您的网络获取DHCP租约时,应在租约提供中提供一个或两个公共DNS服务器。并非所有解析器都相同,但OpenDNS等可能提供更多隐私保护。

一旦您的主机获得了一个或两个公共IP地址进行名称解析,以下ACL将以四行简洁的规则阻止您的电视访问任何RFC-1918地址。此特定配置将防止这些主机访问标准内部网络范围内的任何内容:

1
2
3
4

deny 10.99.99.0/24 10.0.0.0/8 any 
deny 10.99.99.0/24 172.16.0.0/12 any 
deny 10.99.99.0/24 192.168.0.0/16 any 
allow 10.99.99.0/24 any any

这将允许该网段与任何公共IP地址通信。仅此而已。

谢谢阅读,
-jd

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次