1) 内部用户访问外部的Company-Server时只能通过ping、HTTPS访问,访问其他外部设备暂时没有限制。

# 进入全局配置模式
configure terminal
# 创建一个访问控制列表(ACL),命名为外部访问ACL
ip access-list extended EXTERNAL_ACCESS_ACL
# 允许ping流量通过
permit icmp any host X.X.X.X
# 允许HTTPS流量通过
permit tcp any host X.X.X.X eq 443
# 禁止其他所有流量通过
deny ip any any
# 退出ACL配置模式
exit
# 将ACL应用到内部接口(假设内部接口是GigabitEthernet0/1)
interface GigabitEthernet0/1
# 应用ACL到入站流量
ip access-group EXTERNAL_ACCESS_ACL in
# 保存配置
write memory

2) 阻止192.168.84.0/24网络的用户使用50000以上的端口号连接外部的UnKnown-Server。

# 进入全局配置模式
configure terminal
# 创建一个扩展型ACL,以控制源地址、目标地址和端口范围
ip access-list extended BLOCK_UNKNOWN_SERVER_ACL
# 允许192.168.84.0/24网络访问UnKnown-Server的端口号范围
permit tcp 192.168.84.0 0.0.0.255 host <UnKnown-Server-IP> range 1 49999
# 阻止192.168.84.0/24网络访问UnKnown-Server的端口号范围(50000以上的端口)
deny tcp 192.168.84.0 0.0.0.255 host <UnKnown-Server-IP> range 50000 65535
# 允许其他所有流量通过
permit ip any any
# 退出ACL配置模式
exit
# 将ACL应用到内部接口(假设内部接口是GigabitEthernet0/1)
interface GigabitEthernet0/1
# 应用ACL到出站流量
ip access-group BLOCK_UNKNOWN_SERVER_ACL out
# 保存配置
write memory
文章目录