ADC

访问控制列表

访问控制列表 (ACL) 过滤 IP 流量并保护您的网络免遭未经授权的访问。ACL 是一组条件,NetScaler 会评估这些条件以确定是否允许访问。例如,财务部门可能不希望允许其他部门(例如人力资源和文档)访问其资源,而这些部门希望限制对其数据的访问。

当 NetScaler 收到数据包时,它会将数据包中的信息与 ACL 中指定的条件进行比较,然后允许或拒绝访问。组织管理员可以将 ACL 配置为在以下处理模式下运行:

  • 允许-处理数据包。
  • bridge-将数据包桥接到目的地,而不对其进行处理。数据包由第 2 层和第 3 层转发直接发送。
  • 拒绝—丢弃数据包。

ACL 规则是 NetScaler 的第一级防御。

NetScaler 支持以下类型的 ACL:

  • 简单 ACL 根据数据包的源 IP 地址以及(可选)协议、目标端口或流量域过滤数据包。任何具有 ACL 中指定的特性的数据包都将被删除。
  • 扩展 ACL 根据各种参数(例如源 IP 地址、源端口、操作和协议)过滤数据包。扩展 ACL 定义了数据包必须满足的条件,NetScaler 才能处理数据包、桥接数据包或丢弃数据包。

命名法

在 NetScaler 用户界面中,简单 ACL 和扩展 ACL 这两个术语是指处理 IPv4 数据包的 ACL。处理 IPv6 数据包的 ACL 被称为简单的 ACL6 和/或扩展的 ACL6。在讨论这两种类型时,本文档有时将它们都称为简单 ACL 或扩展 ACL。

ACL 优先级

如果同时配置了简单 ACL 和扩展 ACL,则首先将传入数据包与简单 ACL 进行比较。

NetScaler 首先确定传入的数据包是 IPv4 还是 IPv6 数据包,然后将该数据包的特征与简单 ACL 或简单 ACL6 进行比较。如果找到匹配项,则丢弃数据包。如果未找到匹配项,则将数据包与扩展 ACL 或扩展 ACL6 进行比较。如果该比较得出匹配结果,则按照 ACL 中的指定处理数据包。可以桥接、丢弃或允许数据包。如果未找到匹配项,则允许使用该数据包。

图 1. 简单和扩展的 ACL 流序列

ACLs-flow

访问控制列表