访问控制列表
访问控制列表(acl)过滤IP流量,保护您的网络免受未经授权的访问。ACL是NetScaler设备评估的一组条件,以确定是否允许访问。例如,财务部门可能不希望其他部门(如人力资源和文档)访问其资源,而这些部门希望限制对其数据的访问。
当NetScaler设备接收到数据包时,它将数据包中的信息与ACL中指定的条件进行比较,并允许或拒绝访问。组织管理员可以配置acl的处理方式如下:
- allow -处理报文。
- bridge -将数据包桥接到目的地而不进行处理。报文直接通过二层、三层转发发送。
- 拒绝-丢弃数据包。
ACL规则是NetScaler设备上的第一级防御。
NetScaler支持以下类型的acl:
- 简单的acl根据报文的源IP地址、协议、目的端口或流量域进行过滤。任何具有ACL中指定特征的报文都将被丢弃。
- 扩展acl根据源IP地址、源端口、动作、协议等多种参数对数据包进行过滤。扩展ACL定义了数据包必须满足的条件,NetScaler设备才能处理数据包、桥接数据包或丢弃数据包。
命名法
在NetScaler的用户界面中,简单ACL和扩展ACL指的是处理IPv4报文的ACL。处理IPv6报文的ACL分别称为简单ACL6和扩展ACL6。在讨论这两种类型时,本文档有时将它们都称为简单acl或扩展acl。
ACL优先
如果同时配置了简单acl和扩展acl,则入方向报文首先与简单acl进行比较。
NetScaler设备首先确定传入数据包是IPv4还是IPv6数据包,然后将数据包的特征与简单acl或简单acl6进行比较。如果找到匹配,则丢弃数据包。如果没有匹配,则与扩展acl或扩展acl6进行比较。如果比较结果匹配,则按照ACL中指定的方式处理数据包。数据包可以被桥接、丢弃或允许。如果没有匹配,则放行该报文。
图1。简单acl和扩展acl流序列
复制!
失败了!