23.7.1 客户端访问过滤器工作原理

Messaging Server 访问控制设备是一种程序，该程序与其服务于的 TCP 守护程序在同一端口上侦听；访问控制设备使用访问过滤器来验证客户端标识，并可授予客户端对此守护程序的访问权限（如果客户端通过过滤进程）。

作为过滤进程的一部分，Messaging Server TCP 客户端访问控制系统执行（必要时）套接字端点地址的以下分析：

• 反向查找两个端点的 DNS（以执行基于名称的访问控制）

• 转发两个端点的 DNS 查找（以检测 DNS 欺骗）

• Identd 回叫（以检查客户端主机是否知道客户端上的用户）

系统会将此信息与称为 filters 的访问控制语句进行比较以决定是允许还是拒绝访问。对于每种服务，分隔允许过滤器和拒绝过滤器控制访问集。允许过滤器明确允许访问；拒绝过滤器明确禁止访问。

客户端请求访问某项服务时，访问控制系统将通过以下标准按顺序将客户端的地址或名称信息与此项服务的每个过滤器进行比较：

• 搜索将停止在第一个匹配项。因为允许过滤器是在拒绝过滤器之前处理，所以允许过滤器优先。

• 如果客户端信息与此项服务的允许过滤器相匹配，则允许访问。

• 如果客户端信息与此项服务的拒绝过滤器相匹配，则拒绝访问。

• 如果未出现任何与允许或拒绝过滤器匹配的条目，则允许访问—只有允许过滤器而没有拒绝过滤器的情况除外，在这种情况下缺少匹配条目意味着拒绝访问。

此处说明的过滤器语法足够灵活，您应该能够以简单而直观的方式实现许多不同种类的访问控制策略。尽管使用几乎排斥的允许或几乎排斥的拒绝可能实现大多数策略，但是还是可以使用允许过滤器和拒绝过滤器的任何组合。

以下各节详细说明了过滤器语法并给出了用法示例。23.7.4 为服务创建访问过滤器一节介绍了创建访问过滤器的过程。