关于AC访问控制策略命中优先级说明

内容很好很多！当然，搞技术的大多都被这样子虐过一通。不过依在下说，思维方法的训练是所有网络课所缺乏的，比如计算机之父冯诺依曼主要工作是研究原子能和氢弹，参与计算机的发明实属偶然；人工智能之父图灵的传奇一生，他的图灵机为今天所有的计算机划定了工作范畴。我们今天在处理问题时所犯的很多错误，其实是思维方式的问题。

核心内容：！！！AC不是按照五元组的逻辑去命中策略，AC是对每一个包的3-7层去进行检测。

例如，一个访问爱奇艺的数据包，在三层的时候会去匹配IP，然后进入四层匹配端口，然后进入七层匹配应用。其中任何一层存在拒绝动作则整个数据包无法通过。

1.前言

在进行POC测试报告的时候，看到这样一个需求

当时想法很简单，第一条策略允许访问出口AD（10.10.10.1），第二条策略拒绝所有。但是但是但是！！！10.10.10.1根本无法打开！

2.排查

想破脑袋没想明白（还是按照AF五元组的逻辑来思考），然后去问了办事处祁专！祁哥跟我讲，命中规则是这样的：

嗯，听了个半懂！（主要是在思考，应用控制和端口控制，谁的优先级比较高？）

3.决定自己动手测试一下，嗯，下面是测试结果：

测试结果第一反应是懵！！！

为什么清一色ping不通？？？

4.总结

比对着测试结果反思了好久，最终换了个思路。也许AC不是按照五元组的逻辑去命中策略（真相了），AC是对每一个包的3-7层去进行检测。

例如，一个访问爱奇艺的数据包，在三层的时候会去匹配IP，然后进入四层匹配端口，然后进入七层匹配应用。其中任何一层存在拒绝动作则整个数据包无法通过，也就是祁哥画的这个图！

真相了真相了，今晚睡个好觉！！！