4.5.6防火墙访问控制列表(Access Control List,ACL)管理
2025年11月13日
4.5.6防火墙访问控制列表(Access Control List,ACL)管理
ACL为防火墙增加了对数据包的过滤功能,实现对IP数据包的过滤。对防火墙需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,然后与设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。
1.接口ACL配置
接口ACL可以根据接收报文的接口指定规则。接口ACL详细配置如下:
2.基本ACL配置
基本ACL仅使用源地址信息作为定义ACL规则的元素。基本ACL详细配置如下(规则编号、操作、时间段和日志设置同上):
3.高级ACL配置
高级ACL可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型(例如TCP的源端口、目的端口、ICMP协议的类型、消息码等内容)定义规则。利用高级ACL可以定义出比基本ACL更准确、丰富和灵活的规则。
因特网的上层应用都是通过TCP或UDP报文进行传输的,通过使用高级ACL匹配来自某些特定端口号的包,就可以对上层的某些应用进行过滤控制。高级ACL详细配置如下(规则编号、操作、时间段和日志设置同上):
4.Ethernet Frame ACL配置
Ethernet Frame ACL可以根据MAC地址进行过滤。Ethernet Frame ACL详细配置如下(规则编号、操作、时间段和日志设置同上):
5.应用ACL
配置完ACL后,可以将其应用到指定的接口上。将ACL应用到接口时,可对接口的收发报文分别指定访问规则。此外,还可以将ASPF策略应用于指定的接口,这样才能对通过接口的流量进行检测。在接口应用ACL详细配置如下:
