Citrix ADC

Listas de control de acceso

Las listas de control de acceso (ACL) filtran el tráfico IP y protegen su red del acceso no autorizado. Una ACL es un conjunto de condiciones que el Citrix ADC evalúa para determinar si se permite el acceso. Por ejemplo, el departamento de Finanzas probablemente no desee permitir que otros departamentos tengan acceso a sus recursos, como recursos humanos y documentación, y esos departamentos desean restringir el acceso a sus datos.

Cuando Citrix ADC recibe un paquete de datos, compara la información del paquete de datos con las condiciones especificadas en la ACL y permite o deniega el acceso. El administrador de la organización puede configurar las ACL para que funcionen en los siguientes modos de procesamiento:

  • Permitir: Procesa el paquete.
  • Puente: Puente del paquete al destino sin procesarlo. El paquete es enviado directamente por el reenvío de Capa 2 y Capa 3.
  • Deny: Suelta el paquete.

Las reglas de ACL son el primer nivel de defensa en Citrix ADC.

Citrix ADC admite los siguientes tipos de ACL:

  • Las ACL simples filtran los paquetes en función de su dirección IP de origen y, opcionalmente, de su protocolo, puerto de destino o dominio de tráfico. Se elimina cualquier paquete que tenga las funciones especificadas en la ACL.
  • LasACL extendidas filtran los paquetes de datos sobre la base de varios parámetros, como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Una ACL extendida define las condiciones que un paquete debe cumplir para que el Citrix ADC procese el paquete, realice un puente sobre el paquete o deje caer el paquete.

Nomenclatura

En las interfaces de usuario de Citrix ADC, los términos ACL simple y ACL extendida hacen referencia a ACL que procesan paquetes IPv4. Una ACL que procesa paquetes IPv6 se denomina ACL6 simple o ACL6 extendida. Al hablar de ambos tipos, esta documentación a veces se refiere a ambos como ACL simples o ACL extendidas.

Precedencia de ACL

Si se configuran las ACL simples y extendidas, los paquetes entrantes se comparan primero con las ACL simples.

El Citrix ADC determina primero si el paquete entrante es un paquete IPv4 o IPv6 y, a continuación, compara las funciones del paquete con ACL simples o ACL6s simples. Si se encuentra una coincidencia, se elimina el paquete. Si no se encuentra ninguna coincidencia, el paquete se compara con ACL extendidas o ACL6S extendidas. Si esa comparación da como resultado una coincidencia, el paquete se maneja como se especifica en la ACL. El paquete puede ser puenteado, descartado o permitido. Si no se encuentra ninguna coincidencia, se permite el paquete.

Ilustración 1. Secuencia de flujo de ACL simple y extendida

flujo de acls-

Listas de control de acceso