10.1 访问控制列表的概念与分类

访问控制列表的概念与分类***职业技术学院

主讲教师：***访问控制列表的概念随着Internet的快速发展，网络安全问题日趋突出。为了保护局域网内某些设备和数据系统的安全，网络管理员经常需要设法拒绝某些非法用户对保护对象的访问连接，但要允许那些正常的访问连接。例如，网络管理员允许局域网内的用户访问Internet，同时它却不希望局域网以外的用户通过互联网访问局域网内部的文件服务器。

访问控制列表（AccessControlList，ACL）是一种应用在交换机与路由器上的技术，其主要目的是对网络数据通信进行过滤，实现对各种访问的控制需求。访问控制列表通过对数据包中的信息，如源地址、目的地址、协议号、源端口、目的端口等来区分数据包的特性，根据预先定义好的规则允许（permit）或拒绝（deny）该数据包是否被设备转发，从而实现对网络数据传输的控制。访问控制列表的工作原理访问控制列表是一组规则的集合，它应用在交换机或者路由器的某个接口上。访问控制列表的设置过程主要有两个步骤：定义规则和应用到接口上。如果对接口应用了访问控制列表，也就是说该接口应用了一组规则，那么路由器（或三层交换机）将对数据包应用该组规则进行检测。访问控制列表的工作原理在检测数据包是否允许转发时，遵循以下基本规则。1、如果匹配第一条规则，则不再往下检测，路由器或者交换机将决定允许该数据包通过或者拒绝其通过。2、如果不匹配第一条规则，则依次往下检测，直到有任何一条规则匹配，路由器或交换机将决定允许该数据包通过或拒绝其通过。3、如果最后没有一条规则匹配，则路由器或交换机根据默认的规则将丢弃该数据包。由以上几条基本规则可知，由于存在规则匹配的次序性，各条规则的放置顺序很重要，一旦找到了某一匹配规则，就结束比较，不再检测其后的其它规则。访问控制列表的工作原理需要注意的是在访问控制列表的末尾，总有一条隐含的拒绝所有（denyany）数据包通过，意味着如果数据包不与任何规则匹配，则默认的动作就是拒绝该数据包通过。访问控制列表的工作原理在路由器（或交换机）接口上应用访问控制列表有进（in）和出（out）两个方向。

进方向的ACL负载过滤进入接口的数据流量，出方向的ACL负责过滤从接口发出的数据流量。

进方向先检查ACL，后查找路由表，出方向先查找路由表，再检查ACL。访问控制列表的工作原理访问控制列表分为：标准IP访问控制列表和扩展访问控制列表标准IP访问控制列表编号范围为1-99，其作用为根据数据包的源地址（hostip）对数据包进行过滤处理，采取允许或拒绝的动作。扩展IP访问控制列表编号范围为100-199，可以处理更多的匹配项，包括源地址、目的地址、协议号、源端口、目的端口等，根据这些匹配项对数据包进行过滤，采取允许或拒绝数据包的动作。观看谢谢PPT模板下载：/moban/行业PPT模板：/hangye/节日PPT模板：/jieri/PPT素材下载：/sucai/PPT背景图片：/beijing/PPT图表下载：/tubiao/优秀PPT下载：/xiazai/PPT教程：/powerpoint/Word教程：/word/Excel教程：/excel/资料下载：/ziliao/PPT课件下载