访问控制列表 ACL

访问控制列表由一组有序的条件语句构成，每个条件语句中的关键词Permit（允许）或Deny（拒绝）决定了匹配该条件语句的数据是被允许还是被禁止通过路由器的接口。

访问控制列表的条件参数都在IP包中，协议号和IP地址（源地址和目的地址）都在IP包头部分，端口号在IP包的数据部分，也就是第四层头部。

路由器检查每一个通过应用了访问控制列表的接口的IP包，将IP包中的参数和访问控制列表中的条件参数进行比较，如果这两个参数相同，就意味着该IP包匹配了条件。根据条件语句中的关键词，路由器对IP包进行相应的处理—允许或禁止数据包从接口进或者出。

访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

　　访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

　　访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

　　此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换（Network Address Translation，NAT）、按需拨号路由（Dial on Demand Routing，DDR）、路由重分布（Routing Redistribution）、策略路由（Policy-Based Routing，PBR）等很多场合都需要访问控制列表。

　　访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

几种访问控制列表的简要总结::

1.标准IP访问控制列表

　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

2.扩展IP访问控制列表

　　扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

3.命名的IP访问控制列表

　　所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

4.标准IPX访问控制列表

　　标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。

5.扩展IPX访问控制列表

　　扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。

6.命名的IPX访问控制列表

　　与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。