ACL 是什么

訪問控制列表(ACL)是一種基于包過濾的訪問控制技術，它可以根據設定的條件對接口上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用于路由器和三層交換機，借助于訪問控制列表，可以有效地控制用戶對網絡的訪問，從而最大程度地保障網絡安全。

 

ACL 的作用

ACL可以限制網絡流量、提高網絡性能。例如，ACL可以根據數據包的協議，指定數據包的優先級。

ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。

ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡，而拒絕主機B訪問。

ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

例如：某部門要求只能使用 WWW 這個功能，就可以通過ACL實現； 又例如，為了某部門的保密性，不允許其訪問外網，也不允許外網訪問它，就可以通過ACL實現。

ACL的分類

實際上，按照ACL規則功能的不同，ACL被劃分為基本ACL、高級ACL、二層ACL、用戶自定義ACL和用戶ACL這五種類型。每種類型ACL對應的編號范圍是不同的。ACL 2000屬于基本ACL，ACL 3998屬于高級ACL。高級ACL可以定義比基本ACL更準確、更豐富、更靈活的規則，所以高級ACL的功能更加強大。

 

ACL可以應用于多種場合，其中最為常見的應用情形如下：

1、過濾鄰居設備間傳遞的路由信息。

2、控制交換訪問，以此阻止非法訪問設備的行為，如對 Console接口、 Telnet或SSH訪問實施控制。

3、控制穿越網絡設備的流量和網絡訪問。

4、通過限制對路由器上某些服務的訪問來保護路由器，如HTP、SNMP和NIP等。

5、為DDR和 IPSeC VPN定義感興趣流。

6、能夠以多種方式在IOS中實現QoS(服務質量)特性。

7、在其他安全技術中的擴展應用，如TCP攔截和IOS防火墻。

正確放置ACL位置

在適當的位置放置 ACL 可以過濾掉不必要的流量，使網絡更加高效。ACL可以充當防火墻來過濾數據包并去除不必要的流量。ACL的放置位置決定了是否能有效減少不必要的流量。例如，會被遠程目的地拒絕的流量不應該消耗通往該目的地的路徑上的網絡資源。

每個ACL都應該放置在最能發揮作用的位置。基本的規則是：

將擴展 ACL盡可能靠近要拒絕流量的源。這樣，才能在不需要的流量流經網絡之前將其過濾掉。