第四章 防火墙访问控制列表v1

幻灯片 11

ACL 定义的数据流有很大区别：

1、基本ACL2000～2999仅使用源地址信息定义数据流。

2、高级ACL3000～3999可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型（例如TCP的源端口、目的端口，ICMP协议的类型、消息码等内容）定义规则。

3、基于MAC地址的ACL4000～4099主要用于防火墙工作在透明模式的应用中，此时防火墙能够根据以太网帧头中的源MAC地址、目的MAC地址、类型字段等信息与ACL规则进行匹配，从而达到控制二层数据帧的目的。

幻灯片 12

标准访问控制列表，又称为基本访问控制列表。防火墙对数据包的处理过程中，标准访问控制列表只针对根据数据包的源地址进行识别。

标准访问控制列表中包括规则编号，执行动作和源IP地址。在防火墙中访问控制列表是使用数字来标识的，其定义和引用也是依靠特定范围的数字来指定。在华为赛门铁克防火墙的ACL中，标准访问控制列表的范围为2000～2999。 在防火墙中，标准访问控制列表只针对数据流源地址进行匹配，通常应用在仅需要对数据包源地址进行限定的场景。