网络ACL与文件系统ACL

Question

最近，一位系统视窗工程师就他的“文件系统ACL”与“网络ACL如何工作”中的更合理的应用程序展开了争论。

网络ACL通常通过按顺序(自上而下)应用ACE并在第一次匹配时停止工作。除非遇到拒绝ACE，否则文件系统ACE(特别是NTFS)通过考虑所有ACE并授予最大权限来工作。

为什么网络ACL的工作方式是这样的，为什么不应该将它们与文件系统ACL进行比较，正如我直觉所理解的那样？

根据我的理解，网络ACL的工作方式如下：

• 需要在数据包级别进行处理。
• 第一次遇到流需要到CPU。
• 为了速度，比赛一开始就停下来
• 考虑到所有的ACE都是适得其反的，因为我们没有建立允许权限的列表。

Answer 1

正如评论中所指出的，这是为了速度。

在另一段时间里，我是一个文件服务器人员，并且经历了一次内部遵从性审计，这使得最糟糕的PCI检查看起来像是一次野餐，我还要补充如下：

网络ACL在自上而下的第一场比赛中工作，迫使你在实现/更新访问列表时投入更多的精力来组织访问列表，之后比文件系统ACL更干净、更容易读取。

文件系统ACL具有方便的优点，并且提供了更大的意外后果。

当然，如果您的环境不需要考虑安全性，那么这并不是一个问题。