網(wǎng)絡中常說的ACL是Cisco IOS所提供的一種訪問控制技術，初期僅在路由器上支持，近些年來已經(jīng)擴展到三層交換機，部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術，不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基于 Cisco IOS的ACL進行編寫。

基本原理：ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

功能：網(wǎng)絡中的節(jié)點資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務或數(shù)據(jù)，用戶節(jié)點訪問資源節(jié)點所提供的服務與數(shù)據(jù)。ACL的主要功能就是一方面保護資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權限。

配置ACL的基本原則：在實施ACL的過程中，應當遵循如下兩個基本原則：

最小特權原則：只給受控對象完成任務所必須的最小的權限

最靠近受控對象原則：所有的網(wǎng)絡層訪問權限控制

局限性：由于ACL是使用包過濾技術來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內(nèi)部的權限級別等。因此，要達到end to end的權限控制目的，需要和系統(tǒng)級及應用級的訪問權限控制結合使用。

【相關文章】

• A網(wǎng)絡層訪問權限控制技術－ACL詳解

• 專題：訪問控制列表(ACL)介紹