网络安全-ACL应用

概念

访问控制列表ACL（Access Control Lists）是一种基于包过滤的访问控制列表，借助于ACL，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

原理

一、源接口发送数据包

1. 当路由器从一个端口发送一个数据包，路由器检查这个数据包是否可路由。
2. 如果可路由，路由器检查这个端口是否有ACL控制进入数据包。
3. 如果有，根据ACL中的条件指令，检查这个数据包。如果数据包被允许通行，就根据路由表，对数据包进行路由转发。如果数据包不被允许通行，丢弃。

二、目的接口接收数据包

1. 当路由器从一个端口接收一个数据包，路由器检查这个数据包是否可路由。
2. 如果可路由，路由器检查这个端口是否有ACL控制进入数据包。
3. 如果有，根据ACL中的条件指令，检查这个数据包。如果数据包被允许通行，就根据路由表，对数据包进行路由转发。如果数据包不被允许通行，丢弃。

不管是源接口发送数据包还是目的接口接收数据包，都是一个数据包要经过端口，所以原理基本一致。

当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则