分享图解网络：访问控制列表 ACL，功能堪比防火墙2022/12/26 12:30:03

哦不明白

ACL是一组允许或拒绝访问计算机络的规则，络设备，即路由器和交换机，将ACL语句应用于入站和出站络流量，从而控制哪些流量可以通过络。??在计算机络世界中，ACL是比较基本的安全组件之一，是一种监视传入和传出流量并将其与一组定义的语句进行比较的功能。域名IP查询的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！

ACL主要存在于具有包过滤功能的络设备中，包括路由器和交换机。

本文瑞哥将用图解的形式带大家揭开ACL的神秘面纱。

让我们直接开始！

什么是ACL英文全称：ACL中文称：访问控制列表ACL是一个规则列表，用于指定允许或拒绝哪些用户或系统访问特定对象或系统资源，访问控制列表也安装在路由器或交换机中，它们充当过滤器，管理哪些流量可以访问络。

ACL类型ACL一般有两种类型：



ACL类型文件系统ACL：一般是过滤对文件和或目录的访问。络ACL：过滤对络的访问，一般用于络设备，比如路由器、交换机等。本文会着重介绍络ACL。

ACL点ACL点非常多，比如：

通过限制络流量帮助提高络性能通过定义权限和访问权限来提供安全性对进入络的流量提供精细控制为什么使用ACLACL起到维护络流量正常流动的作用，这种对络流量的监管是维护组织或络安全的主要方式，访问控制列表有助于限制似乎不适合组织安全的流量，从而比较终现更好的络性能。

使用访问控制列表的主要原因是维护络的安全并保护它免受易受攻击和危险的尝试，如果消息在未经过滤的情况下通过络传输，则将组织置于危险之中的机会就会增加。

通过使用访问控制列表，为络授予特定的安全级别，来规范所有那些被授权和未被授权由用户使用的服务器、络和服务，此外，ACL有助于监控进入和离开系统的所有数据。



ACL控制

如图，SW3和SW1由于ACL的控制，不允许访问，SW4到SW2允许访问。

ACL的组成ACL是一组规则或条目，每台设备可以设置一个包含单个或多个条目的ACL，其中每个条目可以设置不同的规则，允许或拒绝某种流量。

一般ACL有以下部分：



ACL的组成

ACL编号标识ACL条目的代码。

ACL称ACL称也可以用来标识ACL条目。

备注可以为AC添加注释或详细描述

ACL语句就是写一些拒绝或者允许流量的语句，这个很重要，后面会详细讲。

络协议比如IP、TCP、UDP、IPX等，可以根据这些络协议编写规则。

源地址、目的地址就是这些ACL规则针对的出入地址，比如你的电脑访问服务器，那么你的电脑就是源地址，的服务器就是目的地址。



源地址、目的地址

日志传入和传出的流量可以用ACL日志功能去记录，用来统计或者排查络问题。

ACL的分类从大的方向讲ACL分为四大类：



ACL的分类

标准ACL这是安全性比较弱的基本ACL，只查看源地址。

以下是编号是5号的ACL，是标准ACL，允许172161024的络：

-51721610000255扩展ACL更高级的ACL，能够根据其协议信息阻止整个络和流量。

以下是编号为150号的AC，如果目标将HTTP端口80作为主机端口，允许从172161024络到任何IP4络的所有流量：

-2022721610000255动态ACL更安全的ACL，它利用身份验证、扩展ACL和T，只允许用户在经过身份验证过程后访问络。

自反ACL将会话过滤功能添加到其他ACL类型的数据包过滤功能中，也被称为IP会话ACL，使用上层会话详细信息来过滤流量。

自反ACL不能直接应用于接口，通常嵌套在扩展的命访问列表中，不支持在会话期间更改端口号的应用程序，例如FTP客户端。

ACL规则ACL规则按顺序匹配的，假如有多行，一定是从首行开始，一直到比较后一行。每个ACL的末尾都有一个隐式拒绝，如果没有条件或规则匹配，则数据包将被丢弃。一般会有出站和入站ACL，每个方向每个协议每个接口只能分配一个ACL，即每个接口只允许一个入站和出站ACL。尽可能使用备注和日志提供有关ACL的详细信息，以便于后期排查问题和记忆。ACL使用场景

ACL使用场景

一般情况下就是这种情况：

NAT在地址转换的时候，内外安全性考虑，会设置大量的ACL去控制络流量。

防火墙这个就不用说了，防火墙干的事情就是ACL的规则。

QS这个一般在流策略中比较常见，控制不同段的用户对流量的访问权。

一般来说，ACL使用场景逃不过这种情况，即使有其他的情况，肯定也是可以用这种情况去概况联想的。

总结ACL是一组允许或拒绝访问计算机络的规则，络设备，即路由器和交换机，将ACL语句应用于入站和出站络流量，从而控制哪些流量可以通过络。?