什么是ACL?

大家好，欢迎来到IT知识分享网。

 什么是ACL?

• 访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。
• ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

ACL的基本原理
ACL由一系列规则组成，通过将报文与ACL规则进行匹配，设备可以过滤出特定的报文。当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理。
为什么需要ACL？
根据规则过滤的ACL，能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能，从而提高网络环境的安全性和网络传输的可靠性。

ACL是怎么工作的？
ACL工作主要是根据规则进行，ACL规则里包括他的规则编号（顺序），动作（允许或者拒绝）规则匹配的地址段（源/源-目的）生效时间段。

ACL分类
基于ACL规则定义方式的划分，可分为：
基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。

• 基本ACL:基于源IP地址进行过滤。
• 高级ACL：除了基于源和目的IP地址外，还可以基于协议类型、端口号等更复杂的条件过滤。

ACL 两种作用：
① 用来对数据包做访问控制
② 结合其他协议用来匹配范围
② 基本ACL：basic acl

ACL的匹配位置

基本ACL配置
1.PC1不能ping通Server1
2.PC2可以ping通Server1
3.PC1可以ping通 PC2

配置举例
 IP标准ACL配置举例
1.    组网需求
通过配置IP标准ACL，禁止财务部以外的部门访问财务数据服务器。

2.    组网图

完成

综合实验-EVE-NG

1. 某车企内网使用的ACL

1. 某车企内网使用的ACL

FTP-Server

4..使用ACL进行内网安全控制配

• 允许设计中心设备访问汽车工程研究院FTP服务器
• 禁止其它设备访问汽车工程研究院FTP服务器

网络ACL配置流程

1. 参考创建网络ACL创建网络ACL。
2. 参考添加网络ACL规则添加网络ACL规则。
3. 参考将子网络关联至网络ACL将子网与网络ACL关联。子网络关联后，网络ACL将自动开启并生成。

配置ACL规则时：

• 如果指定的rule-id已存在，且新规则与原规则存在冲突，则冲突的部分新规则代替原规则，相当编辑一个已经存在的ACL的规则。
• 不同的ACL匹配顺序，可能会造成不同的报文匹配结果。
• 很多没有配置ACL规则的业务也会占用ACL资源，可以通过执行命令display system tcam service brief 查看业务占用ACL资源的情况。

删除ACL规则时：规则即使被引用，使用undo rule 命令行也可以删除该规则。请谨慎操作，在删除前使用display cyrrent-configyration l include acl 判断该规则是否已经被引用。若在引用中被删除会导致该规则失效。

目的
随着网络的飞速发展，网络安全和网络服务质量QoS（Quality of Service）问题日益突出。

• 企业重要服务器资源被随意访问，企业机密信息容易泄露，造成安全隐患。
• Internet病毒肆意侵略企业内网，内网环境的安全性堪忧。
• 网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽得不到保障，造成用户体验差。

以上种种问题，都对正常的网络通信造成了很大的影响。因此，提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

• 某企业为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。实现方式：在Interface 1的入方向上部署ACL，禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL，总裁办公室访问财务服务器的报文默认允许通过。
• 保护企业内网环境安全，防止Internet病毒入侵。实现方式：在Interface 3的入方向上部署ACL，将病毒经常使用的端口予以封堵。

特点：

1. 灵活性：ACL支持多种匹配条件，可以根据需要设置各种过滤规则。
2. 细粒度控制：ACL可以基于源IP地址、协议类型、端口等多个因素进行流量控制。
3. 有效性：ACL能够提供有效的流量过滤和访问控制、保护网络安全和资源利用率。
4. 可扩展性：ACL可以在网络设备的多个接口上配置，并支持不同的方向。
5. 简单部署：ACL配置相对简单，易于实现和管理。

在进行ACL实验过程中，我通过学习和探索，对自然语言处理领域的基础概念、方法和技术有了更多的理解。掌握ACL的基本配置方法，并了解其在网络安全中的重要作用。通过实践操作，加深对ACL的理解，为今后在网络管理和安全中的应用打下基础。