網(wǎng)絡(luò)中常說的ACL是Cisco IOS所提供的一種訪問控制技術(shù)，初期僅在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機(jī)上也提供類似的技術(shù)，不過名稱和配置方式都可能有細(xì)微的差別。本文所有的配置實(shí)例均基于 Cisco IOS的ACL進(jìn)行編寫。

基本原理：ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。

功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。

配置ACL的基本原則：在實(shí)施ACL的過程中，應(yīng)當(dāng)遵循如下兩個基本原則：

最小特權(quán)原則：只給受控對象完成任務(wù)所必須的最小的權(quán)限

最靠近受控對象原則：所有的網(wǎng)絡(luò)層訪問權(quán)限控制

局限性：由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達(dá)到end to end的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。

【相關(guān)文章】

• A網(wǎng)絡(luò)層訪問權(quán)限控制技術(shù)－ACL詳解

• 專題：訪問控制列表(ACL)介紹