網(wǎng)管員在日常工作中經(jīng)常會(huì)接觸到路由器，但是對(duì)路由器得了解程度有多少呢？今天來為您講述一下訪問控制列表(ACL)，在日常的工作中可以利用ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，同時(shí)也提高了網(wǎng)絡(luò)的安全等級(jí)。
在局域網(wǎng)中，路由器或網(wǎng)關(guān)負(fù)責(zé)網(wǎng)絡(luò)中的內(nèi)外溝通的信息，同時(shí)對(duì)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全與穩(wěn)定的保護(hù)作用，所以在安全方面負(fù)責(zé)對(duì)這些進(jìn)進(jìn)出出的數(shù)據(jù)進(jìn)行識(shí)別，從而實(shí)現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)安全過濾；在網(wǎng)絡(luò)的穩(wěn)定性方面對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行流量控制，從而改善網(wǎng)絡(luò)的通行質(zhì)量。
訪問控制列表是應(yīng)用在路由器接口上的一個(gè)控制列表，可以控制拒絕和允許進(jìn)入以及離開路由器的數(shù)據(jù)包，也可以拒絕和允許用戶訪問某一網(wǎng)絡(luò)資源。由于其應(yīng)用的非常廣泛，可以對(duì)IP、協(xié)議、端口等功能上進(jìn)行控制，從而對(duì)網(wǎng)絡(luò)系統(tǒng)起到安全與保護(hù)的作用，所以它是一種網(wǎng)絡(luò)安全防護(hù)技術(shù)，也可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具。
什么是訪問控制列表(ACL)
訪問控制列表實(shí)際上就是一系列允許和拒絕匹配準(zhǔn)則的集合。簡(jiǎn)單的說就是利用這些準(zhǔn)則來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕，那就要根據(jù)這些準(zhǔn)則中所定義的條件來決定控制數(shù)據(jù)包在輸入與輸出。匹配準(zhǔn)則的總類繁多，可以簡(jiǎn)單的數(shù)據(jù)包目標(biāo)地址的單項(xiàng)目匹配，也可以是數(shù)據(jù)包目標(biāo)地址、源地址，端口等多項(xiàng)目的綜合匹配等，訪問控制列表對(duì)符合匹配規(guī)則的數(shù)據(jù)包進(jìn)行允許和拒絕的操作。

訪問控制列表的作用
建立訪問控制列表后，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，其次還可以用來限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對(duì)通信流量起到控制的手段，這些都是對(duì)網(wǎng)絡(luò)訪問的基本安全手段。在路由器的接口上配置訪問控制列表后，可以對(duì)入站接口、出站接口及通過路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測(cè)。

訪問控制列表總的說起來有下面三個(gè)作用，我們來具體看一下：
1、安全控制    允許一些分合匹配規(guī)則的數(shù)據(jù)包通過訪問的同時(shí)而拒絕另一部分不符合匹配規(guī)則的數(shù)據(jù)包。 舉個(gè)例子說一下財(cái)務(wù)部的數(shù)據(jù)庫(kù)服務(wù)器，上面的數(shù)據(jù)應(yīng)該來說是比較機(jī)密的，不是說誰都可以訪問上面的數(shù)據(jù)的，這個(gè)時(shí)候就需要用到訪問控制列表，在此列表中定義那些主機(jī)可以訪問財(cái)務(wù)部數(shù)據(jù)庫(kù)服務(wù)器，當(dāng)此列表外的主機(jī)訪問此服務(wù)器的時(shí)候，就會(huì)被路由器過濾掉。如圖一所示：

ACL安全控制

192.168.1.30與192.168.1.50的兩臺(tái)主機(jī)可以通過路由器訪問數(shù)據(jù)庫(kù)服務(wù)器主機(jī)，而那臺(tái)192.168.1.40那臺(tái)筆記本電腦，就無法訪問財(cái)務(wù)的數(shù)據(jù)庫(kù)服務(wù)器。

2、流量過濾

此功能是防止一些不必要的數(shù)據(jù)包通過路由器，來提高網(wǎng)絡(luò)的帶寬的利用率，如圖二所示：

ACL流量控制

其中的兩臺(tái)主機(jī)分別可以通過路由器訪問網(wǎng)絡(luò)與收發(fā)郵件，另一臺(tái)主機(jī)想通過路由器進(jìn)行BT下載，卻無法進(jìn)行ＢＴ下載。
3、數(shù)據(jù)流量標(biāo)識(shí) 　　

此功能是對(duì)公司有兩條或兩條以上的網(wǎng)絡(luò)鏈路時(shí)，訪問控制列表與路由策略等來實(shí)現(xiàn)分工，讓不同的數(shù)據(jù)包選擇不同的鏈路，如下圖三： 　

ACL數(shù)據(jù)流量標(biāo)識(shí)

當(dāng)有數(shù)據(jù)通過路由器的時(shí)候，訪問控制列表先把數(shù)據(jù)流作相應(yīng)的標(biāo)識(shí)，在通過路由策略，將這些數(shù)據(jù)流交給相應(yīng)的連路，如圖三標(biāo)識(shí)中的訪問internet的數(shù)據(jù)就走Internet線路，公司內(nèi)部的服務(wù)就走ＶＰＮ線路。
我們?cè)賮砜匆豢碅LC的工作原理，其原理包含兩個(gè)方面，一是ACL的工作過程，二是ACL的執(zhí)行流程。通過其原理過程來具體的體會(huì)ALC的作用。
ALC的工作過程
當(dāng)路由器的接口接收到一個(gè)數(shù)據(jù)包時(shí)，首先會(huì)檢查訪問控制列表，如果有執(zhí)行控制列表中有拒絕和允許的操作，則根據(jù)：被拒絕的數(shù)據(jù)包將會(huì)被丟棄，允許的數(shù)據(jù)包進(jìn)入路由選擇狀態(tài)。
對(duì)進(jìn)入路由選擇狀態(tài)的數(shù)據(jù)再根據(jù)路由器的路由表執(zhí)行路由選擇，如果路由表中沒有到達(dá)目標(biāo)網(wǎng)絡(luò)的路由，那么相應(yīng)的數(shù)據(jù)包就會(huì)被丟棄；如果路由表中存在到達(dá)目標(biāo)網(wǎng)絡(luò)的路由，則數(shù)據(jù)包被送到相應(yīng)的網(wǎng)絡(luò)接口。
以上是ALC的簡(jiǎn)單的工作過程，其簡(jiǎn)單的說明數(shù)據(jù)包的經(jīng)過路由器時(shí)，根據(jù)訪問控制列表作相應(yīng)的動(dòng)作來判斷是被接收還是被丟棄，在安全性很高的配置中，有時(shí)還會(huì)為每個(gè)接口配置自己的ALC，來為數(shù)據(jù)作更詳細(xì)的判斷。
ACL的執(zhí)行流程
當(dāng)數(shù)據(jù)包被執(zhí)行操作時(shí)，這個(gè)過程是一個(gè)什么過程呢。這就需要按照列表中的條件語句執(zhí)行順序來作不同判斷。
這里要記住：如果一個(gè)數(shù)據(jù)包的報(bào)頭跟ALC中某個(gè)條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。 數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)，它才被交給ACL中的下一個(gè)條件判斷語句進(jìn)行比較。如果匹配，則不管是第一條還是最后一條語句，數(shù)據(jù)都會(huì)被立即操作，要么丟棄，要么立即專發(fā)到目的接口。如果所有的ACL判斷語句都檢測(cè)完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。    總的一句話就是數(shù)據(jù)包與ALC中的一旦出現(xiàn)的匹配情況，就執(zhí)行相應(yīng)的操作，而此時(shí)對(duì)此數(shù)據(jù)包的檢測(cè)就到此為止了，后面不管出現(xiàn)多少不匹配的情況將不作檢測(cè)。所以訪問控制列表中的規(guī)則的順序那就要注意了；相同的規(guī)則，順序不同，將會(huì)出現(xiàn)不同的結(jié)果。
訪問控制列表與防火墻的區(qū)別
雖然訪問控制列表可以拒絕和接收相應(yīng)的數(shù)據(jù)包，但他不能完全的代替防火墻。當(dāng)接收一個(gè)數(shù)據(jù)包時(shí)，訪問控制列表先檢查訪問控制列表，再執(zhí)行相應(yīng)的接受和拒絕的步驟，并不能像專業(yè)的防火強(qiáng)那樣作相應(yīng)的數(shù)據(jù)包的分析。如果這樣作下來了，路由器可能不堪負(fù)荷，無法工作。

責(zé)任編輯: 炊煙(TEL:（010）68476636-8006)