自反 ACL 限制

网络工程 ACL
2021-07-27 04:02:15

自反 ACL 可以监控出站流量并创建一个临时 ACL,通过交换源/目标地址和端口号来镜像此流量:

OUTBOUND:              192.168.1.2:1234 -> 11.0.0.1:80
TEMPORARY RETURN ACL:  permit 11.0.0.1:80 -> 192.168.1.2:1234

自反 ACL 具有不支持在发送第一个数据包后更改其端口号的协议的限制。常见的例子是 FTP,它使用单独的控制通道来配置数据通道。

哪些其他常见协议与自反 ACL 不兼容?

除了这个限制之外,是否还有理由避开自反 ACL?

1个回答

自反 ACL 是定义定向流量启动和动态打开返回流量安全性的第一种方法。

下面的路由器逻辑 

FTP inside --> outside 

then I must allow 

FTP outside --> inside

现在我们使用基于区域的防火墙(或您想用于相同技术的任何其他流行语),它们几乎可以做同样的事情,但它们也可以根据流量检查进行调整

其它你可能感兴趣的问题
上一篇ScreenOS:查看接口上的峰值带宽并在超过阈值时发出警报 下一篇UDP 端口转发范围