幻灯片 11
ACL 定义的数据流有很大区别:
1、基本ACL2000~2999仅使用源地址信息定义数据流。
2、高级ACL3000~3999可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型(例如TCP的源端口、目的端口,ICMP协议的类型、消息码等内容)定义规则。
3、基于MAC地址的ACL4000~4099主要用于防火墙工作在透明模式的应用中,此时防火墙能够根据以太网帧头中的源MAC地址、目的MAC地址、类型字段等信息与ACL规则进行匹配,从而达到控制二层数据帧的目的。
幻灯片 12
标准访问控制列表,又称为基本访问控制列表。防火墙对数据包的处理过程中,标准访问控制列表只针对根据数据包的源地址进行识别。
标准访问控制列表中包括规则编号,执行动作和源IP地址。在防火墙中访问控制列表是使用数字来标识的,其定义和引用也是依靠特定范围的数字来指定。在华为赛门铁克防火墙的ACL中,标准访问控制列表的范围为2000~2999。 在防火墙中,标准访问控制列表只针对数据流源地址进行匹配,通常应用在仅需要对数据包源地址进行限定的场景。
