ACL原理和作用，ACL类型和特点，ACL匹配和通配符使用 _ACL

•随着网络的飞速发展，网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。
•ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。
•在本章节中，将介绍ACL的基本原理和基本作用， ACL的不同种类及特点， ACL的基本组成和匹配顺序，通配符的使用方法和ACL的相关配置。
技术背景：需要一个工具，实现流量过滤
•随着网络的飞速发展，网络安全和网络服务质量QoS（Quality of Service）问题日益突出。
?园区重要服务器资源被随意访问，园区机密信息容易泄露，造成安全隐患。
?Internet病毒肆意侵略园区内网，内网环境的安全性堪忧。
?网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽得不到保障，造成用户体验差。
•以上种种问题，都对正常的网络通信造成了很大的影响。因此，提高网络安全性和服务质量迫在眉睫，我们需要对网络进行控制。比如，需要借助一个工具帮助实现一些流量的过滤。

文章插图

•某公司为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。
ACL概述
•通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。
?ACL是由permit或deny语句组成的一系列有顺序的规则的集合；它通过匹配报文的相关字段实现对报文的分类。
?ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；ACL还能够用于匹配路由条目。
•在本章课程中主要通过流量过滤来介绍ACL 。
•ACL是由一系列permit或deny语句组成的、有序规则的列表。
•ACL是一个匹配工具，能够对报文进行匹配和区分。

文章插图

ACL应用
•匹配IP流量
•在Traffic-filter中被调用
•在NAT（Network Address Translation）中被调用
•在路由策略中被调用
•在防火墙的策略部署中被调用
•在QoS中被调用
•其他……
ACL的组成
•ACL的组成：
?ACL编号：在网络设备上配置ACL时，每个ACL都需要分配一个编号，称为ACL编号，用来标识ACL 。不同分类的ACL编号范围不同，这个后面具体讲。
?规则：前面提到了，一个ACL通常由若干条“permit/deny”语句组成，每条语句就是该ACL的一条规则。
?规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。ACL规则的编号范围是0～4294967294 ，所有规则均按照规则编号从小到大进行排序。
?动作：每条规则中的permit或deny ，就是与这条规则相对应的处理动作。permit指“允许” ， deny指“拒绝” ，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。
?比如：ACL如果与流量过滤技术结合使用（即流量过滤中调用ACL）， permit就是“允许通行”的意思， deny就是“拒绝通行”的意思。
?匹配项：ACL定义了极其丰富的匹配项。例子中体现的源地址， ACL还支持很多其他规则匹配项。例如，二层以太网帧头信息（如源mac、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。
•提问：rule 5 permit source 1.1.1.0 0.0.0.255 是什么意思？这个在后续课程中会介绍。
•ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。