ACL 是什么

訪問控制列表(ACL)是一種基于包過濾的訪問控制技術(shù)，它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進(jìn)行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī)，借助于訪問控制列表，可以有效地控制用戶對網(wǎng)絡(luò)的訪問，從而最大程度地保障網(wǎng)絡(luò)安全。

 

ACL 的作用

ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。

ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。

ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。

ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

例如：某部門要求只能使用 WWW 這個功能，就可以通過ACL實(shí)現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL實(shí)現(xiàn)。

ACL的分類

實(shí)際上，按照ACL規(guī)則功能的不同，ACL被劃分為基本ACL、高級ACL、二層ACL、用戶自定義ACL和用戶ACL這五種類型。每種類型ACL對應(yīng)的編號范圍是不同的。ACL 2000屬于基本ACL，ACL 3998屬于高級ACL。高級ACL可以定義比基本ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則，所以高級ACL的功能更加強(qiáng)大。

 

ACL可以應(yīng)用于多種場合，其中最為常見的應(yīng)用情形如下：

1、過濾鄰居設(shè)備間傳遞的路由信息。

2、控制交換訪問，以此阻止非法訪問設(shè)備的行為，如對 Console接口、 Telnet或SSH訪問實(shí)施控制。

3、控制穿越網(wǎng)絡(luò)設(shè)備的流量和網(wǎng)絡(luò)訪問。

4、通過限制對路由器上某些服務(wù)的訪問來保護(hù)路由器，如HTP、SNMP和NIP等。

5、為DDR和 IPSeC VPN定義感興趣流。

6、能夠以多種方式在IOS中實(shí)現(xiàn)QoS(服務(wù)質(zhì)量)特性。

7、在其他安全技術(shù)中的擴(kuò)展應(yīng)用，如TCP攔截和IOS防火墻。

正確放置ACL位置

在適當(dāng)?shù)奈恢梅胖?ACL 可以過濾掉不必要的流量，使網(wǎng)絡(luò)更加高效。ACL可以充當(dāng)防火墻來過濾數(shù)據(jù)包并去除不必要的流量。ACL的放置位置決定了是否能有效減少不必要的流量。例如，會被遠(yuǎn)程目的地拒絕的流量不應(yīng)該消耗通往該目的地的路徑上的網(wǎng)絡(luò)資源。

每個ACL都應(yīng)該放置在最能發(fā)揮作用的位置?；镜囊?guī)則是：

將擴(kuò)展 ACL盡可能靠近要拒絕流量的源。這樣，才能在不需要的流量流經(jīng)網(wǎng)絡(luò)之前將其過濾掉。