訪問控制列表acl

① 訪問控制矩陣,ACL和capabilities是什麼

訪問控制列表（Access Control Lists，ACL）是一種由一條或多條指令的集合，指令裡面可以是報文的源地址、目標地址、協議類型、埠號等，根據這些指令設備來判斷哪些數據接收，哪些數據需要拒絕接收。它類似於一種數據包過濾器。
從而可以實現對網路訪問行為的控制、限制網路流量、提高網路性能、防止網路攻擊等等。
理解了訪問控制矩陣之後，就簡單了。訪問控制矩陣的每一列都是一個訪問控制列表ACL， 表的每一行都是功能列表（也叫能力表）。ACL和能力表就是訪問控制矩陣的特殊形式，
訪問控制列表，就是只有一列的訪問控制矩陣。例如，針對一個文件X的，然後表裡有所有用戶對X的訪問許可權。注意：此時表裡只有關於X的訪問許可權，如果要查文件Y的相關許可權，就不應該查這個表了。
能力表，就是只有一行的訪問控制矩陣。例如，就是針對主體-用戶Bob的，表裡列出了Bob擁有的對所有客體的許可權。注意這里沒法查其他用戶Tom的任何許可權，你得到其他表去查了。

都是用於訪問控制的，大同小異。用在不同的情境中。能力表一般和主體關聯，根據主體可以很快知道是否有權訪問。ACL一般和客體關聯，有訪問需求給到這個客體了，查下是否這個主體有許可權。 詳見第8章。

② acl有什麼作用

訪問控制列表ACL（Access Control List）可以定義一系列不同的規則，設備根據這些規則對數據包進行分類，並針對不同類型的報文進行不同的處理，從而可以實現對網路訪問行為的控制、限制網路流量、提高網路性能、防止網路攻擊等等。
例如：只允許訪問http的地址，ftp不允許訪問。
只允許網段192.168.2.0訪問外網，192.168.1.0網段不允許訪問外網。

③ ACL是什麼

訪問控制列表(ACL)是一種基於包過濾的訪問控制技術。

它可以根據設定的條件對介面上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機，藉助於訪問控制列表，可以有效地控制用戶對網路的訪問，從而最大程度地保障網路安全。

訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段。

ACL的功能：

1、限制網路流量、提高網路性能。例如，ACL可以根據數據包的協議，指定這種類型的數據包具有更高的優先順序，同等情況下可預先被網路設備處理。

2、提供對通信流量的控制手段。

3、提供網路訪問的基本安全手段。

4、在網路設備介面處，決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。

以上內容參考：網路—ACL

④ ACL（訪問控制列表）詳解

訪問控制列表(ACL)是應用在 路由器 介面的指令列表(即規則)。這些指令列表用來告訴路由器，那些數據包可以接受，那些數據包需要拒絕。

ACL使用包過濾技術，在路由器上讀取OSI七層模型的第3層和第4層包頭中的信息。如源地址，目標地址，源埠，目標埠等，根據預先定義好的規則，對包進行過濾，從而達到訪問控制的目的。

ACl是一組規則的集合，它應用在路由器的某個介面上。對路由器介面而言，訪問控制列表有兩個方向。

出：已經通過路由器的處理，正離開路由器的數據包。

入：已到達路由器介面的數據包。將被路由器處理。

————————————————

1、Access Contral List

2、ACL是一種包過濾技術。

3、ACL基於 IP包頭的IP地址 、 四層TCP／UDP頭部的埠號; 基於三層和四層過濾

4、ACL在路由器上配置，也可以在防火牆上配置（一般稱為策略）

5、ACL主要分為2大類：

標准 ACL
表號是 1-99 特點；

只能基於 源IP地址 對包進行過濾

擴展 ACL
表號：100-199

特點：可以基於源IP、目標IP、埠號、協議對包進行過濾

————————————————

ACL原理

1）ACL表必須應用到介面的進或出方向生效

2） 一個介面的一個方向 只能應用一張表

3）進還是出方向應用？取決於流量控制總方向

4）ACL表是嚴格自上而下檢查每一條，所以要注意書寫順序

5）每一條是有條件和動作組成，當流量不滿足某條件，則繼續檢查；當流量完全 滿足某條件，不再往後檢查 直接執行動作。

6）標准ACL盡量寫在靠近目標的地方

————————————————

將ACL應用到介面：

———————

注釋：反子網掩碼：將正子網掩碼0和1倒置

反子網掩碼：用來匹配，與0對應的嚴格匹配，與1對應的忽略匹配。

———————

例如：access-list 1 deny 10.1.1.1 0.255.255.255

解釋：該條目用來拒絕所有源IP為10開頭的

access-list 1 deny 10.1.1.1 0.0.0.0

簡寫：access-list 1 deny host 10.1.1.1

解釋：該條目用來拒絕所有源IP為10.1.1.1的主機

access-list 1 deny 0.0.0.0 255.255.255.255

簡寫：access-list 1 deny any

解釋：該條目用來拒絕所有人

————————————————

————————————————

1）做流量控制，首先要先判斷ACL寫的位置（那個路由器？那個介面的哪個方向？）

2）再考慮怎麼寫ACL

首先要判斷最終要 允許所有還是拒絕所有

將 【詳細的嚴格的控制】 寫在最前面

3）一般情況下，標准或擴展ACL一旦編寫，無法修改某一條，也無法刪除某一條，也無法往中間插入新的條目，只能一直在最後添加新的條目

如想修改插入或刪除，只能刪除整張表，重新寫！

conf t

no access-list 表號
查看ACL表：

show ip access-list [表ID]

————————————————

擴展ACL：

表號：100-199

特點：可以基於源IP、目標IP、埠號、協議對包進行過濾

命令：

acc 100 permint/deny 協議 源IP或源網段 反子網掩碼 目標IP 或源網段 反子網掩碼 [eq埠號]

注釋：協議：tcp/udp/icmp/ip

案例：

acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80

acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255

————————————————

命名ACL：

作用：可以對標准或擴展ACL進行自定義命名

優點：

自定義命名更容易辨認，也便於記憶！

可以任意修改某一條，或刪除某一條，也可以往中間插入某一條

conf t

ip access-list standard/extended 自定義表名

開始從deny或permit編寫ACL條目

exit

刪除某一條：

ip access-list standard/extended 自定義表名

no 條目ID

exit

插入某一條：

IP access-list standard/extended 自定義表名

條目ID 動作 條件

————————————————

以上是以思科命令為例。

⑤ 華為 ACL訪問控制列表 （高級ACL為例）

Access Control List訪問控制列表–ACL

ACL是由一個或多個用於報文過濾的規則組成的規則集合，通過在不同功能上的應用 可 達到不同的應用效果。
路由器和交換機介面的指令列表，用來控制埠進出的數據包，配合各種應用（NAT、route police 前綴列表等）實現對應的效果。

匹配特定數據，實現對數據的控制（deny–拒絕，permit–放行）
實現網路訪問控制，Qos留策略，路由信息過濾，策略路由等諸多方面。

（1）：按照ACL過濾的報文類型和功能劃分

基本acl（2000-2999）：只能匹配源ip地址。
高級acl（3000-3999）：可以匹配源ip、目標ip、源埠、目標埠等三層和四層的欄位。

① 介面ACL（編號1000-----19999）
② 基本ACL（編號2000-----2999）
③ 高級ACL（編號3000-----3999）
④ 二層ACL（編號4000-----4999）
⑤ 自定義ACL（編號5000----5999）

（2）：按照命名方式劃分

① 數字型ACL（創建ACL是編號）
② 命名型ACL（給所創建的ACL賦予一個名稱）

定義ACL語句--------》介面/應用掛載-------》介面收到流量匹配ACL語句----------》數據命中ACL後執行語句動作。

（1）：一個ACL可以由多條「deny | permit」語句組成，每一條語句描述了一條規則
permit–放行，允許，抓取/匹配
deny----拒絕，過濾。

（2）：設備收到數據流量後，會逐條匹配ACL規則，看其是否匹配。
如果不匹配，則匹配下一條。一旦找到一條匹配的規則，則執行規則中定義的動作（permit或者deny）並且不再匹配後續的語句。
如果找不到匹配的規則，則設備不對報文進行任何處理（即默認執行prmit any any，放行所有）

注意： ACL中定義的這些規則可能存在重復或矛盾的地方。規則的匹配順序決定了規則的優先順序，ACL通過設置規則的優先順序來處理規則之間重復或矛盾的情形

配置順序和自動排序

（1）配置順序：

配置順序按ACL規則編號（rule-id）從小到大的順序進行匹配。
設備會在創建ACL的過程中自動為每一條規則分配一個編號（rule-id），規則編號決定了規則被匹配的順序(ARG3系列路由器默認規則編號的步長是5)。

（2）自動排序：

自動排序使用「深度優先」的原則進行匹配，即根據規則的精確度排序，匹配條件（如協議類型，源目的IP地址范圍等）限制越嚴格越精確。
若「深度優先」的順序相同，則匹配該規則時按照規則編號從小到大排列。

rule

（1） 一個ACL內可以有一條或者多條規則，每條規則都有自己的編號，在一個ACL每條語句的規則編號時唯一的，每條編號代表一個ACL語句和動作。
（2） ACL的規則編號（rule id）默認自動生成，也可以手動指定，一般我們通過手動插入新的rule 來調整ACL的匹配規則。
（3）默認每條規則號的從0開始，增長規則為步進5（通過step命令修改步進號）

⑥ acl名詞解釋

訪問控制列表（Access Control Lists，ACL）是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕，可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段；在路由器埠處決定哪種類型的通信流量被轉發或被阻塞，例如，用戶可以允許E-mail通信流量被路由，拒絕所有的 Telnet通信流量等。
訪問控制列表從概念上來講並不復雜，復雜的是對它的配置和使用，許多初學者往往在使用訪問控制列表時出現錯誤。功能
1）限制網路流量、提高網路性能。例如，ACL可以根據數據包的協議，指定這種類型的數據包具有更高的優先順序，同等情況下可預先被網路設備處理。2）提供對通信流量的控制手段。
3）提供網路訪問的基本安全手段。
4）在網路設備介面處，決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。
例如，用戶可以允許E- mail通信流量被路由，拒絕所有的Telnet通信流量。例如，某部門要求只能使用WWW這個功能，就可以通過ACL實現；又例如，為了某部門的保密性，不允許其訪問外網，也不允許外網訪問它，就可以通過ACL實現。

⑦ acl是什麼意思

訪問控製表（Access Control List），又稱存取控制串列，是使用以訪問控制矩陣為基礎的訪問控製表，每一個（文件系統內的）對象對應一個串列主體。

訪問控製表由訪問控制條目（access control entries，ACE）組成。訪問控製表描述用戶或系統進程對每個對象的訪問控制許可權。訪問控製表的主要缺點是不可以有效迅速地枚舉一個對象的訪問許可權。因此，要確定一個對象的所有訪問許可權需要搜索整個訪問控製表來找出相對應的訪問許可權。

訪問控制列表具有許多作用：

1、如限制網路流量、提高網路性能；

2、通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；

3、提供網路安全訪問的基本手段；

4、在路由器埠處決定哪種類型的通信流量被轉發或被阻塞，例如，用戶可以允許E-mail通信流量被路由，拒絕所有的 Telnet通信流量等；

5、訪問控制列表從概念上來講並不復雜，復雜的是對它的配置和使用，許多初學者往往在使用訪問控制列表時出現錯誤。

與 RBAC 比較

ACL 模型的主要替代方案是基於角色的訪問控制(RBAC) 模型。「最小 RBAC 模型」RBACm可以與 ACL 機制ACLg進行比較，其中僅允許組作為 ACL 中的條目。Barkley (1997)表明RBACm和ACLg是等效的。

在現代 SQL 實現中，ACL 還管理組層次結構中的組和繼承。因此，「現代 ACL」可以表達 RBAC 表達的所有內容，並且在根據管理員查看組織的方式表達訪問控制策略的能力方面非常強大（與「舊 ACL」相比）。

⑧ 思科Cisco路由器的ACL控制列表設置

1、根據問題1，需在在switch3上做acl，其PC3不能訪問伺服器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒絕網路192.168.4.4訪問伺服器192.168.3.3。

switch3(config)#access-list 100 peimit ip any any //允許其他主機訪問。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in //在路由器f0/5介面入方向下調用此ACL 100。

2、根據問題2，PC0、PC1、PC2之間訪問關系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止訪問外網

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允許訪問PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允許訪問PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止訪問192.168.1.0網段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in //分別在switch3上調用acl 101和102。

3、根據問題3，acl分為標准acl和擴展acl，其標准acl訪問控制列表號為1-99，擴展acl訪問控制列表號為100-199，每條acl下又能創建多條規則，但一個介面下只能調用一條acl。

4、根據問題4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范圍，命令為：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允許192.168.0.0/16地址訪問任何網路。

(8)訪問控制列表acl擴展閱讀：

ACL可以應用於多種場合，其中最為常見的應用情形如下：

1、過濾鄰居設備間傳遞的路由信息。

2、控制交換訪問，以此阻止非法訪問設備的行為，如對 Console介面、 Telnet或SSH訪問實施控制。

3、控制穿越網路設備的流量和網路訪問。

4、通過限制對路由器上某些服務的訪問來保護路由器，如HTP、SNMP和NIP等。

5、為DDR和 IPSeC VPN定義感興趣流。

6、能夠以多種方式在IOS中實現QoS(服務質量)特性。

7、在其他安全技術中的擴展應用，如TCP攔截和IOS防火牆。