Hogyan használja csomagszűrésre egy ACL a TCP/IP-üzenetváltás során átküldött információt?

A csomagszűrés - amelyet néha statikus csomagszűrésnek is neveznek - a bejövő és kimenő csomagok vizsgálata alapján szabályozza a hálózati hozzáférést. Továbbítja vagy eldobja a csomagokat adott feltételek alapján, amelyek vonatkozhatnak a forrás IP-címre, cél IP-címre vagy a csomag által szállított protokollra.

A forgalomirányító csomagszűrőként működik, amikor továbbítja vagy eldobja a csomagokat a szűrési szabályok alapján. Amikor egy csomag a csomagszűrő forgalomirányítóhoz érkezik, az kiemeli a számára szükséges információt a csomag fejlécéből. Ezen információ felhasználásával a forgalomirányító döntést hoz a beállított szűrési szabály alapján, hogy továbbítsa-e vagy eldobja a csomagot. Ahogy az ábrán is látható, a csomagszűrés az OSI- vagy a TCP/IP-modell különböző rétegeiben működhet.

Egy csomagszűrő forgalomirányító szabályok alapján határozza meg, hogy engedélyezi-e vagy tiltja a forgalmat. A forgalomirányító képes a szállítási rétegben (Layer 4) való szűrésre is. Ebben az esetben a forgalomirányító a TCP- vagy UDP-szegmens forrás- és célportja alapján végezheti a csomagszűrést. A szabályok a hozzáférési listákban kerülnek meghatározásra.

Egy ACL engedélyező vagy tiltó utasítások sorozata, amelyeket hozzáférési lista bejegyzéseknek hívnak (Acces Control Entry, ACE). Ezeket a bejegyzéseket gyakran ACL-utasításoknak nevezik. Az ACE-k különféle kritériumok alapján hozhatók létre, például: forráscím, célcím, protokoll és portszám. Amikor a hálózati forgalom áthalad egy hozzáférési listával konfigurált interfészen, a forgalomirányító sorban, egymás után (szekvenciálisan) összeveti a csomagban található információt a lista minden egyes bejegyzésével, hogy meghatározza az egyezőséget. Amennyiben egyezést talál, a szabálynak megfelelően feldolgozza a csomagot (permit-deny). Ily módon lehet ACL-ekkel szabályozni a hálózathoz vagy alhálózathoz való hozzáférést.

A hozzáférési lista a forgalom kiértékeléséhez a következő információkat olvassa ki a 3. rétegbeli csomag fejlécéből:

A hozzáférési lista képes magasabb rétegbeli információk kiolvasására a Layer 4 fejlécből, ezek lehetnek: