Messaging Server 存取控制工具是一個程式,它偵聽時所在的連接埠與其所服務的 TCP 常駐程式的連接埠相同;它使用存取篩選器來驗證用戶端身份,並在用戶端通過篩選程序的情況下授予用戶端對該常駐程式的存取權。
作為其處理過程的組成部分,Messaging Server TCP 用戶端存取控制系統執行 (必要時) 以下通訊端端點位址分析:
兩個端點的反向 DNS 查詢 (以執行基於名稱的存取控制)
兩個端點的正向 DNS 查詢 (以偵測 DNS 仿冒情況)
Identd 回呼 (以檢查用戶端主機是否知曉該用戶端上的使用者)
系統會將此資訊與稱為篩選器的存取控制敘述進行比較,以決定是授予存取還是拒絕存取。對於每項服務,都各有一組允許篩選器和拒絕篩選器來控制存取。允許篩選器明確授予存取權;拒絕篩選器明確禁止存取。
當用戶端請求存取某服務時,存取控制系統會將該用戶端的位址或名稱資訊與該服務的每個篩選器依次比較,其會使用以下準則︰
在第一次符合時停止搜尋。由於允許篩選器在拒絕篩選器之前處理,因此允許篩選器優先。
如果用戶端資訊符合該服務的允許篩選器,則授予存取權。
如果用戶端資訊符合該服務的拒絕篩選器,則拒絕存取。
如果不符合任何允許或拒絕篩選器,則授予存取,但有允許篩選器而沒有拒絕篩選器的情況除外,在這種情況下,沒有相符項目意味著存取會被拒絕。
此處描述的篩選器語法非常靈活,足以讓您以簡單易懂的方式實作許多不同類型的存取控制策略。雖然幾乎單獨使用允許篩選器或拒絕篩選器就能實作大多數策略,但您可以使用允許篩選器和拒絕篩選器的任意組合。
以下幾節對篩選器語法進行了詳細描述並提供了使用範例。為服務建立存取篩選器小節提供建立存取篩選器的程序。