ADC

Listas de control de acceso

Las listas de control de acceso (ACL) filtran el tráfico IP y protegen la red del acceso no autorizado. Una ACL es un conjunto de condiciones que NetScaler evalúa para determinar si permite el acceso. Por ejemplo, es probable que el departamento de Finanzas no quiera permitir que otros departamentos, como Recursos Humanos y Documentación, accedan a sus recursos, y esos departamentos desean restringir el acceso a sus datos.

Cuando NetScaler recibe un paquete de datos, compara la información del paquete de datos con las condiciones especificadas en la ACL y permite o deniega el acceso. El administrador de la organización puede configurar las ACL para que funcionen en los siguientes modos de procesamiento:

  • Permitir: procesa el paquete.
  • Puente: conecta el paquete con el destino sin procesarlo. El paquete se envía directamente mediante el reenvío de la capa 2 y la capa 3.
  • Denegar: tira el paquete.

Las reglas de ACL son el primer nivel de defensa de NetScaler.

NetScaler admite los siguientes tipos de ACL:

  • Las ACL simples filtran los paquetes según su dirección IP de origen y, opcionalmente, su protocolo, puerto de destino o dominio de tráfico. Se elimina cualquier paquete que tenga las funciones especificadas en la ACL.
  • Las ACL ampliadas filtran los paquetes de datos en función de varios parámetros, como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Una ACL extendida define las condiciones que un paquete debe cumplir para que el NetScaler procese el paquete, realice un puente sobre el paquete o deje caer el paquete.

Nomenclatura

En las interfaces de usuario de NetScaler, los términos ACL simple y ACL extendida se refieren a las ACL que procesan paquetes IPv4. Una ACL que procesa paquetes IPv6 se denomina ACL6 simple o ACL6 extendida. Al analizar ambos tipos, en esta documentación a veces se hace referencia a ambos como ACL simples o ACL extendidas.

Precedencia de ACL

Si se configuran tanto las ACL simples como las extendidas, los paquetes entrantes se comparan primero con las ACL simples.

NetScaler primero determina si el paquete entrante es un paquete IPv4 o IPv6 y, a continuación, compara las características del paquete con las ACL simples o las ACL6 simples. Si se encuentra una coincidencia, se descarta el paquete. Si no se encuentra ninguna coincidencia, el paquete se compara con las ACL extendidas o las ACL6 extendidas. Si esa comparación da como resultado una coincidencia, el paquete se gestiona según lo especificado en la ACL. El paquete puede puentearse, descartarse o permitirse. Si no se encuentra ninguna coincidencia, se permite el paquete.

Figura 1. Secuencia de flujo de ACL simple y extendida

ACLs-flow

Listas de control de acceso