Deci , cum poate un ACL să folosească informațiile transmise în timpul unei conversații TCP/IP pentru a filtra traficul ?

Filtrarea pachetelor , câteodată numită filtrare de pachete statice , controlează accesul la o rețea prin analizarea pachetelor în curs de primire sau plecare și pasează sau le lasă în funcție de criteriile date , cum ar fi adresa IP a sursei , destinația adreselor IP și protocolul transportat din pachet.

Un ruter acționează ca un filtru de pachete când înaintează sau refuză pachete în conformitate cu regulile de filtrare. Când un pachet ajunge la filtrarea de pachete a ruterului , ruterul extrage anumite informații din antetul pachetului. Folosind această informație , ruterul ia decizii bazate pe regulile de filtrare configurate , dacă pachetul poate trece mai departe sau dacă va fi eliminat. Așa cum se arată în figură , filtrarea de pachete poate lucra la diferite straturi ale modelului OSI , sau la stratul de internet TCP/IP.

Un ruter de filtrare de pachete foloseste reguli pentru a determina dacă să permită sau nu traficul. Un router poate efectua filtrare de pachete la Layer-ul 4 , Layer-ul Transport. Router-ul poate filtra pachete bazate pe portul sursă și portul destinație ale segmentului TCP sau UDP. Aceste reguli sunt definite folosind ACL-uri.

Un ACL este o listă secvențială de permis sau respingere de declarații , cunoscută sub numele "Intrările de control ale accesului" (Acces Control Entries , ACE-urile) ACE-urile mai sunt numite declarații ACL. ACE-urile pot fi create să filtreze traficul pe baza unor criterii specifice precum : sursa adresei , destinația adresei , protcolul și numărul de porturi. Când traficul de rețea trece printr-o interfață configurată cu un ACL ,router-ul compară informațiile din pachet pentru fiecare ACE , în ordine secvențială , pentru a determina dacă pachetul se potrivește cu una din declarații. Dacă se potrivește perfect , pachetul este procesat în consecință. În acest fel , ACL-urile pot fi configurate pentru a controla accesul la o rețea sau subrețea.

Pentru a evalua traficul din rețea , ACL-ul extrage următoarele informații din antetul de pachete de Layer 3:

ACL-ul poate extrage, de asemenea , informații din stratul superior din antetul Layer-ul 4 , inclusiv: