允许 HTTP 的 ACL 命令

Question

由于问题没有指定 ACL 应采用哪种语法（即您没有任何参考资料来验证它），您可以假设语法是临时编造的，并且所有的拼写错误都可能是意外的（可能是在几轮打印、重新输入、复印和/或 OCR 之后）。
如果你正在保护托管公共网站的 Web 服务器，你自然会希望接受来自任何地方（即任何来源）的客户端。反之亦然，如果你有一些客户在防火墙后面，他们通常希望访问整个互联网（即任何目的地）。无论哪种情况，至少有一方是“ANY”是不可避免的。
TCP 连接通常在“服务器”端有一个众所周知的端口，但在“客户端”端有一个临时端口（随机且高编号）。这允许区分从同一客户端到同一服务器上的同一服务的多个连接。

这意味着你将实际上绝不¹同时在“sport”和“dport”上看到端口 80。因此，您可以跳过这些不正确的 ACL。
如上所述，众所周知的端口（HTTP 为 80）位于“服务器”端。服务器将使用 DPORT:80 接收数据包，并使用 SPORT:80 发送数据包。

这意味着具有 DPORT:80 的 ACL 必须具有与客户端（浏览器）匹配的 SRCIP 和/或与 Web 服务器匹配的 DSTIP。SPORT:80 则相反。
如上所述，数据包在两个方向上流动。由于防火墙是无状态的，因此它需要两个 ACL，每个方向一个。

¹需要澄清的是，源港和目的港相同允许每个协议，在一般 TCP 使用中极其罕见。（也有例外，例如 BGP 有时使用 179 到 179。）

Answer 1

由于问题没有指定 ACL 应采用哪种语法（即您没有任何参考资料来验证它），您可以假设语法是临时编造的，并且所有的拼写错误都可能是意外的（可能是在几轮打印、重新输入、复印和/或 OCR 之后）。
如果你正在保护托管公共网站的 Web 服务器，你自然会希望接受来自任何地方（即任何来源）的客户端。反之亦然，如果你有一些客户在防火墙后面，他们通常希望访问整个互联网（即任何目的地）。无论哪种情况，至少有一方是“ANY”是不可避免的。
TCP 连接通常在“服务器”端有一个众所周知的端口，但在“客户端”端有一个临时端口（随机且高编号）。这允许区分从同一客户端到同一服务器上的同一服务的多个连接。

这意味着你将实际上绝不¹同时在“sport”和“dport”上看到端口 80。因此，您可以跳过这些不正确的 ACL。
如上所述，众所周知的端口（HTTP 为 80）位于“服务器”端。服务器将使用 DPORT:80 接收数据包，并使用 SPORT:80 发送数据包。

这意味着具有 DPORT:80 的 ACL 必须具有与客户端（浏览器）匹配的 SRCIP 和/或与 Web 服务器匹配的 DSTIP。SPORT:80 则相反。
如上所述，数据包在两个方向上流动。由于防火墙是无状态的，因此它需要两个 ACL，每个方向一个。

¹需要澄清的是，源港和目的港相同允许每个协议，在一般 TCP 使用中极其罕见。（也有例外，例如 BGP 有时使用 179 到 179。）

相关内容