浅谈访问控制列表ACL

　　访问控制列表的英文为Access Control List，简称ACL，是物联网中保障系统安全的一种技术。小编在这里整理了一些关于ACL的知识与大家分享一下，有需要的也可以收藏起来哦。

　　ACL是在实际网络环境中经常用到的安全控制技术， 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

　　实际上，ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。然后根据这些集合去匹配网络中的流量(由大量数据包组成)，同时根据策略来“允许”或者“禁止”。

　　ACL的基本原理

　　1、ACL由若干条件，并按照一定的顺序而成，同时每个条件都对应了一个策略：允许或者禁止。

　　2、收到一个数据帧之后，ACL会按照从上到下的顺序逐一匹配：

　　1)一个条件不匹配就查看下一个;

　　2)任意一个条件匹配后就按照指定的策略执行，并跳出匹配;

　　3)所有条件都不匹配时，默认禁止，即deny。

　　ACL的功能

　　1.限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。

　　2.提供对通信流量的控制手段。

　　3.提供网络访问的基本安全手段。

　　4.在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

　　ACL的分类

　　IP相关的访问控制列表主要分为以下几类：

　　1. 标准IP访问控制列表

　　标准IP访问控制列表匹配IP包中的源地址，可对匹配的IP包采取拒绝或允许两个操作。编号范围是从1到99和从1300到1999的访问控制列表是标准IP访问控制列表。

　　2. 扩展IP访问控制列表

　　扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的(established)和IP优先级等。编号范围是从100到199和从2000到2699的访问控制列表是扩展IP访问控制列表。

　　3. 命名的IP访问控制列表

　　所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表。命名的IP访问控制列表的优点是便于理解、配置和使用。

　　ACL的配置规则

　　1、通过使用ACL编号在接口下调用ACL

　　2、ACL的条目顺序很重要，一般要把限制严格的规则放在列表的上端。

　　3、ACL尾端有一条隐含的拒绝规则

　　4、ACL只应用于穿越路由器的流量，对本地产生的流量不起作用。

　　ACL的网络拓扑

      ACL基本配置以及详解网络拓扑图如下所示:

　　ACL的应用

　　1.提供网络访问的基本安全手段

　　访问控制列表可用于Qos(QualityofService,服务质量)对数据流量进行控制。

　　可指定某种类型的数据包的优先级，以对某些数据包优先处理起到了限制网络流量，减少网络拥塞的作用

　　2.提供对通信流量的控制手段

　　访问控制列表对本身产生的的数据包不起作用，如一些路由更新消息。

　　路由器对访问控制列表的处理过程：

　　(1)如果接口上没有ACL，就对这个数据包继续进行常规处理

　　(2)如果对接口应用了访问控制列表，与该接口相关的一系列访问控制列表语句组合将会检测它：

　　若第一条不匹配，则依次往下进行判断，直到有一条语句匹配，则不再继续判断。路由器将决定该数据包允许通过或拒绝通过

　　若最后没有任一语句匹配，则路由器根据默认处理方式丢弃该数据包。

　　基于ACL的测试条件，数据包要么被允许，要么被拒绝。

　　(3)访问控制列表的出与入，使用命令ipaccess-group，可以把访问控制列表应用到某一个接口上。in或out指明访问控制列表是对近来的，还是对出去的数据包进行控制。

　　以上就是小编整理的ACL的基础概念，它的配置相对来说比较复杂，小编在这里也不展开来讲了，大家可以自行深入学习，也可以与小编互动一下，小编期待着大家到课课家教育来一起学习哦。