堡垒机:即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的***和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。因此需要对所有远程登录内部的操作进行限制,使其只能通过堡垒机登录其他服务器,为误操作、责任追踪提供极大便利。

堡垒机部署_第1张图片

Cisco2960交换机下接服务器,同时在cisco3750交换机上也有一些服务器。


问题描述:客户希望禁止所有人员直接登录服务器进行远程操作,只能以堡垒机为中介远程登录服务器,同时不影响公司其他业务。


解决方法:在核心交换机接入汇聚交换机口处做命名型访问控制列表

#ip access-listextend rule

#permit ip anyhost 10.1.1.1(堡垒机IP地址) //允许所有通往堡垒机的流量

#deny tcp any any eq 22    //禁止SSH协议远程登录

#deny tcp any any eq 3389   //禁止RDP协议远程登录

#permit ip any any        //允许所有流量通过,即不影响其他业务

#int port-channel2

#access-group rule in

#int port-channel3

#access-group rule in