ADC

访问控制列表

May 11, 2023

投稿者:

访问控制列表 (ACL) 过滤 IP 流量并保护您的网络免遭未经授权的访问。ACL 是一组条件，NetScaler 会评估这些条件以确定是否允许访问。例如，财务部门可能不希望允许其他部门（例如人力资源和文档）访问其资源，而这些部门希望限制对其数据的访问。

当 NetScaler 收到数据包时，它会将数据包中的信息与 ACL 中指定的条件进行比较，然后允许或拒绝访问。组织管理员可以将 ACL 配置为在以下处理模式下运行：

允许-处理数据包。
bridge-将数据包桥接到目的地，而不对其进行处理。数据包由第 2 层和第 3 层转发直接发送。
拒绝—丢弃数据包。

ACL 规则是 NetScaler 的第一级防御。

NetScaler 支持以下类型的 ACL：

简单 ACL 根据数据包的源 IP 地址以及（可选）协议、目标端口或流量域过滤数据包。任何具有 ACL 中指定的特性的数据包都将被删除。
扩展 ACL 根据各种参数（例如源 IP 地址、源端口、操作和协议）过滤数据包。扩展 ACL 定义了数据包必须满足的条件，NetScaler 才能处理数据包、桥接数据包或丢弃数据包。

命名法

在 NetScaler 用户界面中，简单 ACL 和扩展 ACL 这两个术语是指处理 IPv4 数据包的 ACL。处理 IPv6 数据包的 ACL 被称为简单的 ACL6 和/或扩展的 ACL6。在讨论这两种类型时，本文档有时将它们都称为简单 ACL 或扩展 ACL。

ACL 优先级

如果同时配置了简单 ACL 和扩展 ACL，则首先将传入数据包与简单 ACL 进行比较。

NetScaler 首先确定传入的数据包是 IPv4 还是 IPv6 数据包，然后将该数据包的特征与简单 ACL 或简单 ACL6 进行比较。如果找到匹配项，则丢弃数据包。如果未找到匹配项，则将数据包与扩展 ACL 或扩展 ACL6 进行比较。如果该比较得出匹配结果，则按照 ACL 中的指定处理数据包。可以桥接、丢弃或允许数据包。如果未找到匹配项，则允许使用该数据包。

图 1. 简单和扩展的 ACL 流序列

ACL-流

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

访问控制列表

May 11, 2023

投稿者:

May 11, 2023

投稿者:

这是否有帮助？