那么 ACL 如何使用 TCP/IP 会话过程中传递的信息来过滤流量?

数据包过滤有时也称为静态数据包过滤,通过分析传入和传出的数据包并根据给定的条件传递或丢弃数据包,从而控制网络访问,例如源 IP 地址、目的 IP 地址和数据包内传输的协议。

当路由器根据过滤规则转发或拒绝数据包时,它便充当了一种数据包过滤器。 当数据包到达数据包过滤路由器时,路由器将从数据包报头中提取某些信息。 通过此信息,路由器将根据已配置的过滤规则进行决策,决定数据包可以通过或将被丢弃。 如图所示,信息包过滤可在 OSI 模型的不同层上运行,也可以在 TCP/IP 的网络层上运行。

数据包过滤路由器使用特定规则确定是允许还是拒绝流量。 路由器还可以在第 4 层(传输层)过滤数据包。 路由器可以根据 TCP 或 UDP 数据段的源端口和目的端口过滤数据包。 使用 ACL 来定义这些规则。

ACL 是一系列 permit 或 deny 语句组成的顺序列表,称为访问控制条目 (ACE)。 ACE 通常也称为 ACL 语句。 可以创建 ACE,使其根据某一标准(如源地址、目的地址、协议和端口号)过滤流量。 当网络流量经过配置了 ACL 的接口时,路由器会将数据包中的信息与每个 ACE 按顺序进行比较,以确定数据包是否匹配其中一条语句。 如果找到匹配项,就将数据包进行相应的处理。 这样,就可以配置 ACL 来控制对网络或子网的访问。

为了评估网络流量,ACL 将从第 3 层数据包报头中提取以下信息:

ACL 还可以从第 4 层报头中提取上层信息,包括: