NGFW—ACL精确控制
一、netfilter架构 1.NGFW的底层架构是netfilter
架构,而netfilter架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是 用户自定义的功能)。
IP层的五个HOOK点的位置如下图所示
[1]:NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点;
[2]:NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点;
[3]:NF_IP_FORWARD:要转发的包通过此检测点;
[4]:NF_IP_POST_ROUTING:所有马上要通过出去的包通过此检测点;
[5]:NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点;
2.每个HOOK点(A、B、C、D、E)上罗列了可以调用的策略,并且已按优先级进行排列(越靠前的优先级越高);
www.99jianzhu.com/包含内容:建筑图纸、PDF/word/ppt 流程,表格,案例,最新,免费下载,施工方案、工程书籍、建筑论文、合同表格、标准规范、CAD图纸等内容。