ADC

访问控制列表

访问控制列表 (ACL) 筛选 IP 流量并保护您的网络免受未经授权的访问。ACL 是 Citrix ADC 评估用于确定是否允许访问的一组条件。例如,财务部门可能不希望允许其他部门(如人力资源和文档)访问其资源,这些部门希望限制对其数据的访问。

Citrix ADC 接收数据包时,它会将数据包中的信息与 ACL 中指定的条件进行比较,并允许或拒绝访问。组织的管理员可以将 ACL 配置为以下处理模式运行:

  • 允许-处理数据包。
  • 桥接-将数据包桥接到目标,而不进行处理。数据包由第 2 层和第 3 层转发直接发送。
  • 拒绝-丢弃数据包。

ACL 规则是 Citrix ADC 上的第一级防御。

Citrix ADC 支持以下类型的 ACL:

  • 简单 ACL 根据数据包的源 IP 地址以及(可选)协议、目标端口或流量域过滤数据包。任何具有 ACL 中指定的特性的数据包都将被删除。
  • 扩展 ACL 根据各种参数(例如源 IP 地址、源端口、操作和协议)过滤数据包。扩展 ACL 定义了 Citrix ADC 处理数据包、桥接数据包或丢弃数据包所必须满足的条件。

命名法

在 Citrix ADC 用户界面中,简单 ACL 和扩展 ACL 是指处理 IPv4 数据包的 ACL。处理 IPv6 数据包的 ACL 称为简单 ACL6 和或扩展 ACL6。在讨论这两种类型时,本文档有时将它们称为简单 ACL 或扩展 ACL。

ACL 优先级

如果同时配置了简单 ACL 和扩展 ACL,则首先将传入数据包与简单 ACL 进行比较。

Citrix ADC 首先确定传入数据包是 IPv4 还是 IPv6 数据包,然后将数据包的特性与简单 ACL 还是简单 ACL6 进行比较。如果找到匹配项,则删除数据包。如果未找到匹配项,则会将数据包与扩展 ACL 或扩展 ACL6 进行比较。如果该比较导致匹配,则按 ACL 中指定的方式处理数据包。数据包可以桥接、丢弃或允许。如果未找到匹配项,则允许该数据包。

图 1. 简单和扩展的 ACL 流序列

ACL-流

访问控制列表