由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過(guò)一個(gè)小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設(shè)置原則羅列出來(lái)，方便各位讀者更好的消化ACL知識(shí)。

1、最小特權(quán)原則

只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限。也就是說(shuō)被控制的總規(guī)則是各個(gè)規(guī)則的交集，只滿(mǎn)足部分條件的是不容許通過(guò)規(guī)則的。

2、最靠近受控對(duì)象原則

所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制。也就是說(shuō)在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語(yǔ)句。

3、默認(rèn)丟棄原則

在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意，雖然我們可以修改這個(gè)默認(rèn)，但未改前一定要引起重視。

由于ACL是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到端到端的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。