ACL描述
ACL 是由 permit 或 deny 语句组成的一系列有顺序的规则,这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。
ACL的应用:
包过滤
采用 ACL 定义过滤规则,然后将ACL 应用于不同安全域之间,从而实现包过滤。
NAT
在 实际应用中,我们可能仅希望某些内部主机(具有私有 IP 地址)具有访问 Internet 外部网络)的权限,而其他内部主机则不允许。这是将 ACL 和 NAT 地址池进行关联来实现的,即只有满足 ACL 条件的数据报文才可以进行地址转换,从而有效地控制地址转换的使用范围。
QOS
流 分类是有区别地进行服务的前提和基础。实际应用中,首先制定流分类策略(规则) ,流分类规则既可以使用 IP 报文头的 ToS(Type of Service)字段内容来识别不同优先级特征的流量,也可以通过 ACL 定义流分类的策略,例如综合源地址/目的地址/MAC 地址、IP 协议或应用程序的端口号等信息对流进行分类。然后,在流量监管、流量整形、拥塞管理和拥塞避免等具体实施上引用流分类策略或 ACL。
策略路由
路由策略有多种过滤方法。其中,ACL 作为它的一个重要过滤器被广泛使用,即用户使用 ACL 指定一个 IP 地址或子网的范围,作为匹配路由信息的目的网段地址、源网段地
址或下一跳地址。
ACL的应用:
包过滤
采用 ACL 定义过滤规则,然后将ACL 应用于不同安全域之间,从而实现包过滤。
NAT
在 实际应用中,我们可能仅希望某些内部主机(具有私有 IP 地址)具有访问 Internet 外部网络)的权限,而其他内部主机则不允许。这是将 ACL 和 NAT 地址池进行关联来实现的,即只有满足 ACL 条件的数据报文才可以进行地址转换,从而有效地控制地址转换的使用范围。
QOS
流 分类是有区别地进行服务的前提和基础。实际应用中,首先制定流分类策略(规则) ,流分类规则既可以使用 IP 报文头的 ToS(Type of Service)字段内容来识别不同优先级特征的流量,也可以通过 ACL 定义流分类的策略,例如综合源地址/目的地址/MAC 地址、IP 协议或应用程序的端口号等信息对流进行分类。然后,在流量监管、流量整形、拥塞管理和拥塞避免等具体实施上引用流分类策略或 ACL。
策略路由
路由策略有多种过滤方法。其中,ACL 作为它的一个重要过滤器被广泛使用,即用户使用 ACL 指定一个 IP 地址或子网的范围,作为匹配路由信息的目的网段地址、源网段地
址或下一跳地址。
浙公网安备 33010602011771号