访问控制列表
访问控制列表(ACL)过滤IP流量并保护您的网络免受未经授权的访问。ACL是Citrix ADC评估以确定是否允许访问的一组条件。例如,财务部门可能不希望其他部门(如人力资源和文档)访问其资源,而这些部门希望限制对其数据的访问。
当Citrix ADC接收到数据包时,它会将数据包中的信息与ACL中指定的条件进行比较,并允许或拒绝访问。组织的管理员可以将ACL配置为在以下处理模式下运行:
- 允许处理数据包。
- 将数据包桥接到目标,而不进行处理。数据包由第2层和第3层转发直接发送。
- 拒绝丢弃数据包。
ACL规则是Citrix ADC的第一级防御。
Citrix ADC支持以下类型的ACL:
- 简单ACL根据数据包的源IP地址和(可选)协议、目标端口或流量域过滤数据包。具有ACL中指定的特征的任何数据包都将被丢弃。
- 扩展ACL根据各种参数筛选数据包,例如源IP地址、源端口、操作和协议。扩展ACL定义数据包必须满足的条件,Citrix ADC才能处理数据包、桥接数据包或丢弃数据包。
命名法
在Citrix ADC用户界面中,简单ACL和扩展ACL是指处理IPv4报文的ACL。处理IPv6报文的ACL分为简单ACL6和扩展ACL6。在讨论这两种类型时,本文档有时将它们统称为简单acl或扩展acl。
ACL优先级
如果同时配置了简单ACL和扩展ACL,则首先将传入的数据包与简单ACL进行比较。
Citrix ADC首先确定传入数据包是IPv4还是IPv6数据包,然后将数据包的特征与简单ACL或简单ACL6进行比较。如果找到匹配项,则丢弃数据包。如果未找到匹配项,则将数据包与扩展ACL或扩展ACL6进行比较。如果比较结果匹配,则按照ACL中的指定处理数据包。数据包可以桥接、丢弃或允许。如果未找到匹配项,则允许该数据包。
图1。简单和扩展的ACLs流序列
访问控制列表
收到了!
失败!