ACL 是什么

訪問控制列表(ACL)是一種基于包過濾的訪問控制技術，它可以根據(jù)設定的條件對接口上的數(shù)據(jù)包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用于路由器和三層交換機，借助于訪問控制列表，可以有效地控制用戶對網(wǎng)絡的訪問，從而最大程度地保障網(wǎng)絡安全。

 

ACL 的作用

ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。

ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。

ACL是提供網(wǎng)絡安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡，而拒絕主機B訪問。

ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

例如：某部門要求只能使用 WWW 這個功能，就可以通過ACL實現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL實現(xiàn)。

ACL的分類

實際上，按照ACL規(guī)則功能的不同，ACL被劃分為基本ACL、高級ACL、二層ACL、用戶自定義ACL和用戶ACL這五種類型。每種類型ACL對應的編號范圍是不同的。ACL 2000屬于基本ACL，ACL 3998屬于高級ACL。高級ACL可以定義比基本ACL更準確、更豐富、更靈活的規(guī)則，所以高級ACL的功能更加強大。

 

ACL可以應用于多種場合，其中最為常見的應用情形如下：

1、過濾鄰居設備間傳遞的路由信息。

2、控制交換訪問，以此阻止非法訪問設備的行為，如對 Console接口、 Telnet或SSH訪問實施控制。

3、控制穿越網(wǎng)絡設備的流量和網(wǎng)絡訪問。

4、通過限制對路由器上某些服務的訪問來保護路由器，如HTP、SNMP和NIP等。

5、為DDR和 IPSeC VPN定義感興趣流。

6、能夠以多種方式在IOS中實現(xiàn)QoS(服務質(zhì)量)特性。

7、在其他安全技術中的擴展應用，如TCP攔截和IOS防火墻。

正確放置ACL位置

在適當?shù)奈恢梅胖?ACL 可以過濾掉不必要的流量，使網(wǎng)絡更加高效。ACL可以充當防火墻來過濾數(shù)據(jù)包并去除不必要的流量。ACL的放置位置決定了是否能有效減少不必要的流量。例如，會被遠程目的地拒絕的流量不應該消耗通往該目的地的路徑上的網(wǎng)絡資源。

每個ACL都應該放置在最能發(fā)揮作用的位置。基本的規(guī)則是：

將擴展 ACL盡可能靠近要拒絕流量的源。這樣，才能在不需要的流量流經(jīng)網(wǎng)絡之前將其過濾掉。