访问控制列表详解.docxVIP

第5章 访问控制列表 5.1 访问控制列表介绍 ACL访问控制列表（Access Control List），是用来限制网络流量、提高网络性能；提供对通信流量的控制手段；提供网络访问的基本安全手段。 5.1.1 基本原理 ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、协议口、端口号等），根据预先定义好的规则对包进行过滤，从而达到控制的目的。 5.1.2 主要功能 网络中的结点分为资源结点和用户结点两大类，其中资源结点提供服务或数据，而用户结点访问资源结点所提供的服务与数据。 ACL的主要功能就是一方面保护资源结点，阻止非法用户对资源结点的访问；另一方面限制特定的用户结点对资源结点的访问权限。 5.1.3 ACL的访问顺序 按照各语句在访问列表的顺序，顺序查找，一旦找到了某一匹配条件，就结束匹配，不再检查后面的语句。 如果所有语句都没有匹配，在默认情况下，虽然看不到最后一行，但最后总是拒绝全部流量的。 5.2 访问控制列表的分类 ACL分为两种：标准IP访问列表（编号范围为1～99、1300～1999）和扩展IP访问列表（编号范围为100～199、2000～2699）； 标准访问列表（standard access lists）：只使用源IP地址来做过滤决定。标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有