2. 基于IP的访问控制
传统防火墙采用策略或ACL,根据数据流里下层属性来决定是否允许数据流。一般防火墙策略依据的属性包括源地址,源端口,目的地址,目的端口,协议号或应用类型来确定是否允许数据流的通过。一般入接口和出接口也会成为防火墙策略的一部分。一些厂商会引入安全域的概念,利用入接口安全域或出接口安全域。防火墙策略是第一匹配原则。
在给定源接口域和目的接口域的情况下,有些厂商引进认证组的概念。如果被检测的流匹配上这些策略,用户可以通过防火墙认证决定其所属的组。根据组匹配与否决定是否让数据流通过。仍然利用第一匹配的原则。
因为防火墙策略匹配是第一匹配,所以如果第一匹配的策略里的组如果不对数据流将会被拒绝。即使以后有其他策略匹配。例如,在上面的例子里,如果有属于g2的内网用户访问www.sina.com,因为基于IP五元组的第一匹配是第一条策略,我们只会利用此策略匹配组的信息,即使组不匹配,我们也不会继续查找到第二条策略。
