ASA-ACL类型
安全设备支持下面5种不同类型的ACl:
- 标准ACL
- 扩展ACL(可匹配v4&v6流量)
- EtherType ACL (以太网类型ACL)
- WebType ACL(Web类型ACL)
1、标准ACL
标准ACL可以基于目的IP地址识别数据包,这种ACL不能应用到接口上来进行流量过滤,只有当安全设备工作在路由模式(routed mode)下时,才可以使用标准ACL。
2、扩展ACL
扩展ACL是最常用的一种ACL,它可基于以下属性对数据包分类:
- 源和目的IP
- 第3层协议
- 源和目的端口(TCP,UDP)
- ICMP数据包的目的ICMP类型
- 用户身份属性,如AD用户名和组成员
扩展ACL可以应用到接口,来实现数据包过滤,QoS数据包分类,对NAT和VPN加密数据包进行识别,以及其他很多功能。
运行在路由和透明模式下的安全设备都可以建立这种类型的ACL。
Note:从9.0(1)版本开始,扩展ACL以及可以同时过滤v4和v6流量。
3、EtherType ACL
EtherType ACL 可以通过查看2层头部的以太网类型编码字段来过滤IP和非IP的流量。例如:基于IP的流量以太网类型编码是0x800.
如果设备运行在透明模式下,就可以使用ethertype acl,和其他的ACL一样,该ACL最后也会有一条隐式拒绝条目,不过,这个隐式拒绝条目不会对穿越设备的IP流量造成影响。所以,管理员可以同时在同一接口的同一个方向应用ethertype ACL 和扩展ACL。
Note:如果在ethertype ACL最后配置了一条显式拒绝条目,即使扩展ACL被设置为放行IP数据包,这些数据包仍然会被Ethertype ACL丢弃。
4、WebType ACL
该ACL可以对穿过SSL VPN隧道进入网络的流量进行限制。如果在某个地方定义了WebType ACL,但是数据包不匹配该ACL,那么由于存在隐式拒绝条目,设备会在默认情况下丢弃数据包。但是如果没有定义任何ACL,那么安全设备就会允许流量通过。
5、ACL特性比较

ASA-ACL类型的更多相关文章
- 蓝牙物理链路类型:SCO和ACL链路
蓝牙物理链路ACL(Asynchronous Connectionless), 另外的一种链路是SCO(Synchronous Connection Oriented)主要用来传输对时间要求很高的数据 ...
- 【转】蓝牙物理链路类型:SCO和ACL链路
原文网址:http://blog.chinaunix.net/uid-23193900-id-3272233.html 蓝牙物理链路ACL(Asynchronous Connectionless), ...
- HCNA Routing&Switching之访问控制列表ACL
前文我们了解了DHCP服务相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15147870.html:今天我们来聊一聊访问控制列表ACL: ACL(ac ...
- Linux VFS Extended Attribute And Access Control Table
catalog . 简介 . 扩展属性 . 访问控制表 . 小结 0. 简介 许多文件系统都提供了一些特性,扩展了VFS层提供的标准功能,虚拟文件系统不可能为所有特性都提供具体的数据结构.超出标准的U ...
- 《linux就该这么学》第十六节课:第16,17章,Squid服务和iscsi网络存储
第十六章 squid总结: 正向代理:yum 安装后清空防火墙即可正常使用,客户端设置浏览器 透明正向代理:vim /etc/squid/squid.conf 59行:http_port 312 ...
- ceph常用运维技巧总结1
格式 json 数据增强可读性 --format json-pretty -f json-pretty ceph quorum_status -f json-pretty ceph mon_statu ...
- 05_zookeeper_原生API使用1(更新)
1. java方式操作远端zookeeper集群概述 步骤:下载zookeeper压缩包并解压, 创建java工程,导入zookeeper相关jar包 (1)下载zookeeper压缩包 http:/ ...
- Linux实战教学笔记42:squid代理与缓存实践(一)
第1章 Squid介绍 1.1 缓存服务器介绍 缓存服务器(英文意思cache server),即用来存储(介质为内存及硬盘)用户访问的网页,图片,文件等等信息的专用服务器.这种服务器不仅可以使用户可 ...
- Liunx学习总结(四)--文件的权限管理
文件和目录的权限 每个文件都有其所有者(u:user).所属组(g:group)和其他人(o:other)对它的操作权限,a:all则同时代表这3者.权限包括读(r:read).写(w:write). ...
- 安全NA第一天笔记:Firewall基本理论
防火墙的三种类型:<1>包过滤(packet filtering):也就是我们常用的访问控制列表(ACL)1.ACL类型:标准,扩展,命名,自反2.ACL其他特性:(1)重新排列序列号: ...
随机推荐
- 并发之ATOMIC原子操作--Unsafe解析(三)
Atomic 类的原子操作是依赖java中的魔法类sun.misc.Unsafe来实现的,而这个类为我们提供了访问底层的机制,这种机制仅供java核心类库使用,而不应该被普通用户使用. 获取Unsaf ...
- C语言究竟是一门怎样的语言?
对于大部分程序员,C语言是学习编程的第一门语言,很少有不了解C的程序员. C语言除了能让你了解编程的相关概念,带你走进编程的大门,还能让你明白程序的运行原理,比如,计算机的各个部件是如何交互的,程序在 ...
- spring注解注入:<context:component-scan>以及其中的context:include-filter>和 <context:exclude-filter>的是干什么的?
转自:https://www.cnblogs.com/vanl/p/5733655.html spring注解注入:<context:component-scan>使用说明 sprin ...
- hdu1695(莫比乌斯反演+容斥)
题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=1695 题目是求 在区间[a,b]选一个数x,区间[c,d]选一个数y,求满足gcd(x,y) = k ...
- git之路
1.如何clone代码到本地 答:git clone https://github.com/antirez/redis.git 2.
- 移动端适配rem为单位的rem.js及个别设备设置了大字体模式,导致页面变形的处理方式
这段时间内,涉及到的都是移动端开发,说到移动端开发,我们就会思考到,目前分辨率的问题,如果用px为单位的话,在不同移动设备和不同分辨率下,页面的效果可能会有所不同,甚至导致页面变形.所以在次我们就用到 ...
- [杭电_HDU] 2013
#include <iostream> using namespace std; int main() { int n; while (cin >> n) { ; //最终桃子 ...
- linux使用tree将目录结构写进txt
比如把caffe的二级目录结构写进txt: tree -L > /home/wmz/treecaffe.txt 则会在/home/wmz/目录下生成一个名为treecaffe.txt的文件,文件 ...
- 【C语言】在有序数组中插入一个数,保证它依然有序
#include<stdio.h> int main() { ] = { ,,,,,, }; int key, i, j; printf("请输入一个数\n"); sc ...
- 【深入HTTP协议】
目录 HTTP 请求 HTTP 响应 "HTTP是(Hyper Text Transfer Protocol)超文本传输协议的缩写. HTTP的发展是万维网协会(World Wide Web ...