網(wǎng)絡(luò)中常說(shuō)的ACL是Cisco IOS所提供的一種訪問(wèn)控制技術(shù)，初期僅在路由器上支持，近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2950之類(lèi)也開(kāi)始提供ACL的支持。只不過(guò)支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機(jī)上也提供類(lèi)似的技術(shù)，不過(guò)名稱(chēng)和配置方式都可能有細(xì)微的差別。本文所有的配置實(shí)例均基于 Cisco IOS的ACL進(jìn)行編寫(xiě)。

基本原理：ACL使用包過(guò)濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。

功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶(hù)節(jié)點(diǎn)兩大類(lèi)，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶(hù)節(jié)點(diǎn)訪問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶(hù)對(duì)資源節(jié)點(diǎn)的訪問(wèn)，另一方面限制特定的用戶(hù)節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。

配置ACL的基本原則：在實(shí)施ACL的過(guò)程中，應(yīng)當(dāng)遵循如下兩個(gè)基本原則：

最小特權(quán)原則：只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限

最靠近受控對(duì)象原則：所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制

局限性：由于ACL是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到end to end的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。

【相關(guān)文章】

• A網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)－ACL詳解

• 專(zhuān)題：訪問(wèn)控制列表(ACL)介紹