网络系统安全.pptVIP

　　ACL可以为流过网络的流量提供一个基本级别的安全保护。默认情况下，路由器不过滤任何流量，可以通过为路由器配置和应用ACL来过滤通过路由器的流量。ACL通常用来阻止不同设备访问特定的服务、特定的设备或者特定的网络部分。ACL是应用于路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以进入或离开、哪些数据包要被拒绝。所以，ACL往往被看做是一种流量过滤工具。 4.1.1 ACL的工作原理　　要实现流量过滤，必须通过ACL语句，在路由器上定义条件，根据这些条件来决定是否允许流量通过。ACL语句有两个组件：条件和操作。条件基本上是一组规则，用于匹配数据包内容，如在数据包源地址中查找匹配，或者在源地址、目的地址、协议类型和协议信息中查找匹配。当ACL语句条件与比较的数据包内容相匹配时，则会采取一个操作：允许或拒绝数据包。 　　每条ACL语句只能列出一个条件和一个操作，如果需要多个条件或多个操作，则必须设置多条ACL语句。ACL语句组合在一起形成一个列表或策略，一个列表中包含的语句数量是没有限制的，零条、一条或多条都是允许的，当然列表越长，管理越复杂。ACL的基本工作过程是：路由器自上而下地处理列表，从第一条语句开始，如果数据包内容与当前语句条件不匹配，则处理列表中的下一条语句，以此类推；如果数据包内容与当前语句条件匹配，则不再处理后面的语句；如果数据包内容与列表中任何显式语