防火墙单向访问控制(防火墙单向访问原理是什么)

路由器有一种功能叫自反ACL，能够实现单向访问的需求，比如A用户能够主动访问B，但是B用户不能主动访问A，但是交换机的安全ACL是通过硬件芯

片直接实现，所以没有自反ACL的逻辑，无法实现同样的效果。但是如果您需要控制的A,B用户之间的数据流是TCP这样的带有状态位的协议时，因为每

次访问前都需要先进行TCP会话协商，有三次握手的过程，就可以考虑利用TCP SYN位的发起方来变相的控制A能主动发起到B的访问，但是B不能主动访

问A，从而实现类似于自反ACL的功能。

特别适用于一些敏感服务器，比如提供给外网访问他的FTP，WEB服务等，但是出于安全考虑，不允许这些服务器去访问internet上面的其他TCP的服

务。交换机依靠TCP FLAG实现基于TCP的访问限制，其他非TCP协议，比如ICMP报文和UDP报文将无法做限制。