文档介绍：ACL的发展和应用ACL发展ACL(AccessControlList)的全称是控制访问列表,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCOIOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。在使用命名访问控制列表时,,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。随着网络的发展和用户要求的变化,,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。ACL的应用ACL(AccessControlList,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。通过在路由器以及交换机上配置相关规则即可实现对数据包的过滤,而不需要添加额外的防火墙等过滤设备既能够实现对数据包的过滤。由于实现方式简单,效果明显,并且成本低廉,适合校园网、小型企业等节约网络成本的网络中用于数据包的控制[1]。同时其他网络技术结合ACL配置也能够实现相应的功能,例如NAT、IPSEC、路由策略、QOS等,由此可见ACL的重要性。ACL的概述ACL的定义访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。ACL的作用访问控制列表(AccessControlList,ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则。ACL可以限制网络流量、提高网络性能。ACL可以根据数据包的协议,指定数据包的优先级。ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段,ACL允许主机A访问网络,而拒绝主机B访问。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。ACL是路由器接口的指令列表,用来控制端口进出的数据包,ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,通信流量。ACL基本原理网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝 ACL是CISCOIOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码——,一定要注意先后顺序。可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。当入站数据包进入路由器内时,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到