防火墻數(shù)據(jù)包處理流程圖

創(chuàng)新互聯(lián)專注于企業(yè)網(wǎng)絡(luò)營銷推廣、網(wǎng)站重做改版、江陽網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、成都h5網(wǎng)站建設(shè)、商城網(wǎng)站制作、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為江陽等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

ACL與NAT的順序不是固定的，各廠商數(shù)據(jù)流先ACL或先NAT不一。

引用《淺析ACL與NAT的執(zhí)行順序》—張少芳 一文中的結(jié)論如下：

H3C

      出站：先匹配出站ACL，然后進(jìn)行地址轉(zhuǎn)換

      入站：先進(jìn)行地址轉(zhuǎn)換，然后匹配入站ACL

CISCO

      出站：先進(jìn)行地址轉(zhuǎn)換，然后匹配出站ACL

      入站：先匹配入站ACL，然后進(jìn)行地址轉(zhuǎn)換（即上圖所示數(shù)據(jù)流順序）

結(jié)論

H3C設(shè)備和CISCO設(shè)備在對ACL與NAT的執(zhí)行順序處理上完全相反。由于在實(shí)際的網(wǎng)絡(luò)中可能存在來自不同廠商的設(shè)備，因此在進(jìn)行具體的ACL策略應(yīng)用前一定要了解具體設(shè)備對ACL與NAT的執(zhí)行順序，以確保ACL的有效性。

特別注意

在實(shí)際設(shè)備使用時發(fā)現(xiàn)，CISCO ASA5545 Version 8.6(1)2，入站ACL配置時使用的是轉(zhuǎn)換后地址，也就是說先進(jìn)行了地址轉(zhuǎn)換，然后再匹配ACL，經(jīng)上網(wǎng)查詢發(fā)現(xiàn)，ASA在8.4版本后，調(diào)整了NAT與ACL的順序。