ACL(Access Control list,訪問控制列表)一般用來進行流量過濾和流量分類。
1.過濾
就是對數據包流量進行過濾,包含了防火牆的功能(應用到三層網絡層),商業級的防火牆一般都需要能應用到網絡上面的應用層。
過濾的兩個動作: permit(允許)、deny (拒絕)
ACL做過濾時都是綁定在交換機或路由器的接口(Interface)上,其中需要注意:一個接口(Interface)上最多配置2個ACL,一個接口(Interface)單方向上最多配置一個ACL。
ACL如果用於分類則無需綁定接口。
2. 分類
也就是流量分類,不進行包過濾,僅僅對流量進行分類識別,應用場景比較廣泛。分類主要用於做策略,結合其他協議和技術去完成特定的功能。
3. ACL 規則
一個ACL可以配置多個規則條目,匹配置時將按照順序匹配,一旦匹配到其中一個規則條目,就會根據這一條目的規則進行處理(丟棄或轉發),將不會繼續向下進行匹配。
注意:當所有的條目都不匹配時,ACL有一條隱含的條目規則,即丟棄數據包。如果應用場景不能丟棄,則需要手動配置一條permit的條目規則。
其實ACL既可以用來做過濾,也可以拿來做分類。
4. 標準ACL和擴展ACL
標準ACL和擴展ACL主要區別表現在對數據識別的顆粒度上。
使用原則:標準的ACL配置在離目的近的交換機上,擴展ACL配置在離數據源近的交換機上。
主要區別點,詳見下表:
類別 |
配置使用原則 |
原理 |
顆粒度 |
執行效率 |
編號標識範圍 |
---|---|---|---|---|---|
標準ACL | 配置在離目的近的交換機上 | 只檢查數據包的源IP地址 | 粗 | 高 | 1~99, 1300~1999 |
擴展ACL | ACL配置在離數據源近的交換機上 | 既可以基於源地址檢查,也可以基於目的地址檢查,還可以基於特定的協議和應用程序 | 細 | 低 | 100~199, 2000~2699 |
5. ACL標識方式
ACL有兩種標識方式
(1)基於編號的標識
(2)基於命名的標識
一般傳統上都習慣使用基於編號標識的方式。
基於命名的可以根據ACL功能編輯,在最後表明使用的是標準的還是擴展的。當前都推薦使用命名標識方式,便於管理和配置(因爲編號方式在ACL配置之後不能單獨修改其中的任何子條目,如果需要修改ACL,只能刪除整個ACL再重新創建;而命名方式ACL的是可以修改或刪除其中的任意一個條目規則)。
6. Refexive ACL(反射ACL)
用於一些要求非常高的安全網絡中,工作原理:不允許外網主動連接內網,即有外網向內網單方向發起的請求數據包會被deny掉;有內網發起到外網的請求後,外網的響應數據報文流量是被允許轉發的。