访问控制列表acl

① 访问控制矩阵,ACL和capabilities是什么

访问控制列表（Access Control Lists，ACL）是一种由一条或多条指令的集合，指令里面可以是报文的源地址、目标地址、协议类型、端口号等，根据这些指令设备来判断哪些数据接收，哪些数据需要拒绝接收。它类似于一种数据包过滤器。
从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
理解了访问控制矩阵之后，就简单了。访问控制矩阵的每一列都是一个访问控制列表ACL， 表的每一行都是功能列表（也叫能力表）。ACL和能力表就是访问控制矩阵的特殊形式，
访问控制列表，就是只有一列的访问控制矩阵。例如，针对一个文件X的，然后表里有所有用户对X的访问权限。注意：此时表里只有关于X的访问权限，如果要查文件Y的相关权限，就不应该查这个表了。
能力表，就是只有一行的访问控制矩阵。例如，就是针对主体-用户Bob的，表里列出了Bob拥有的对所有客体的权限。注意这里没法查其他用户Tom的任何权限，你得到其他表去查了。

都是用于访问控制的，大同小异。用在不同的情境中。能力表一般和主体关联，根据主体可以很快知道是否有权访问。ACL一般和客体关联，有访问需求给到这个客体了，查下是否这个主体有权限。 详见第8章。

② acl有什么作用

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
例如：只允许访问http的地址，ftp不允许访问。
只允许网段192.168.2.0访问外网，192.168.1.0网段不允许访问外网。

③ ACL是什么

访问控制列表(ACL)是一种基于包过滤的访问控制技术。

它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段。

ACL的功能：

1、限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。

2、提供对通信流量的控制手段。

3、提供网络访问的基本安全手段。

4、在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

以上内容参考：网络—ACL

④ ACL（访问控制列表）详解

访问控制列表(ACL)是应用在 路由器 接口的指令列表(即规则)。这些指令列表用来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。

ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

ACl是一组规则的集合，它应用在路由器的某个接口上。对路由器接口而言，访问控制列表有两个方向。

出：已经通过路由器的处理，正离开路由器的数据包。

入：已到达路由器接口的数据包。将被路由器处理。

————————————————

1、Access Contral List

2、ACL是一种包过滤技术。

3、ACL基于 IP包头的IP地址 、 四层TCP／UDP头部的端口号; 基于三层和四层过滤

4、ACL在路由器上配置，也可以在防火墙上配置（一般称为策略）

5、ACL主要分为2大类：

标准 ACL
表号是 1-99 特点；

只能基于 源IP地址 对包进行过滤

扩展 ACL
表号：100-199

特点：可以基于源IP、目标IP、端口号、协议对包进行过滤

————————————————

ACL原理

1）ACL表必须应用到接口的进或出方向生效

2） 一个接口的一个方向 只能应用一张表

3）进还是出方向应用？取决于流量控制总方向

4）ACL表是严格自上而下检查每一条，所以要注意书写顺序

5）每一条是有条件和动作组成，当流量不满足某条件，则继续检查；当流量完全 满足某条件，不再往后检查 直接执行动作。

6）标准ACL尽量写在靠近目标的地方

————————————————

将ACL应用到接口：

———————

注释：反子网掩码：将正子网掩码0和1倒置

反子网掩码：用来匹配，与0对应的严格匹配，与1对应的忽略匹配。

———————

例如：access-list 1 deny 10.1.1.1 0.255.255.255

解释：该条目用来拒绝所有源IP为10开头的

access-list 1 deny 10.1.1.1 0.0.0.0

简写：access-list 1 deny host 10.1.1.1

解释：该条目用来拒绝所有源IP为10.1.1.1的主机

access-list 1 deny 0.0.0.0 255.255.255.255

简写：access-list 1 deny any

解释：该条目用来拒绝所有人

————————————————

————————————————

1）做流量控制，首先要先判断ACL写的位置（那个路由器？那个接口的哪个方向？）

2）再考虑怎么写ACL

首先要判断最终要 允许所有还是拒绝所有

将 【详细的严格的控制】 写在最前面

3）一般情况下，标准或扩展ACL一旦编写，无法修改某一条，也无法删除某一条，也无法往中间插入新的条目，只能一直在最后添加新的条目

如想修改插入或删除，只能删除整张表，重新写！

conf t

no access-list 表号
查看ACL表：

show ip access-list [表ID]

————————————————

扩展ACL：

表号：100-199

特点：可以基于源IP、目标IP、端口号、协议对包进行过滤

命令：

acc 100 permint/deny 协议 源IP或源网段 反子网掩码 目标IP 或源网段 反子网掩码 [eq端口号]

注释：协议：tcp/udp/icmp/ip

案例：

acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80

acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255

————————————————

命名ACL：

作用：可以对标准或扩展ACL进行自定义命名

优点：

自定义命名更容易辨认，也便于记忆！

可以任意修改某一条，或删除某一条，也可以往中间插入某一条

conf t

ip access-list standard/extended 自定义表名

开始从deny或permit编写ACL条目

exit

删除某一条：

ip access-list standard/extended 自定义表名

no 条目ID

exit

插入某一条：

IP access-list standard/extended 自定义表名

条目ID 动作 条件

————————————————

以上是以思科命令为例。

⑤ 华为 ACL访问控制列表 （高级ACL为例）

Access Control List访问控制列表–ACL

ACL是由一个或多个用于报文过滤的规则组成的规则集合，通过在不同功能上的应用 可 达到不同的应用效果。
路由器和交换机接口的指令列表，用来控制端口进出的数据包，配合各种应用（NAT、route police 前缀列表等）实现对应的效果。

匹配特定数据，实现对数据的控制（deny–拒绝，permit–放行）
实现网络访问控制，Qos留策略，路由信息过滤，策略路由等诸多方面。

（1）：按照ACL过滤的报文类型和功能划分

基本acl（2000-2999）：只能匹配源ip地址。
高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

① 接口ACL（编号1000-----19999）
② 基本ACL（编号2000-----2999）
③ 高级ACL（编号3000-----3999）
④ 二层ACL（编号4000-----4999）
⑤ 自定义ACL（编号5000----5999）

（2）：按照命名方式划分

① 数字型ACL（创建ACL是编号）
② 命名型ACL（给所创建的ACL赋予一个名称）

定义ACL语句--------》接口/应用挂载-------》接口收到流量匹配ACL语句----------》数据命中ACL后执行语句动作。

（1）：一个ACL可以由多条“deny | permit”语句组成，每一条语句描述了一条规则
permit–放行，允许，抓取/匹配
deny----拒绝，过滤。

（2）：设备收到数据流量后，会逐条匹配ACL规则，看其是否匹配。
如果不匹配，则匹配下一条。一旦找到一条匹配的规则，则执行规则中定义的动作（permit或者deny）并且不再匹配后续的语句。
如果找不到匹配的规则，则设备不对报文进行任何处理（即默认执行prmit any any，放行所有）

注意： ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级，ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形

配置顺序和自动排序

（1）配置顺序：

配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。
设备会在创建ACL的过程中自动为每一条规则分配一个编号（rule-id），规则编号决定了规则被匹配的顺序(ARG3系列路由器默认规则编号的步长是5)。

（2）自动排序：

自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序，匹配条件（如协议类型，源目的IP地址范围等）限制越严格越精确。
若“深度优先”的顺序相同，则匹配该规则时按照规则编号从小到大排列。

rule

（1） 一个ACL内可以有一条或者多条规则，每条规则都有自己的编号，在一个ACL每条语句的规则编号时唯一的，每条编号代表一个ACL语句和动作。
（2） ACL的规则编号（rule id）默认自动生成，也可以手动指定，一般我们通过手动插入新的rule 来调整ACL的匹配规则。
（3）默认每条规则号的从0开始，增长规则为步进5（通过step命令修改步进号）

⑥ acl名词解释

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段；在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。
访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。功能
1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。2）提供对通信流量的控制手段。
3）提供网络访问的基本安全手段。
4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
例如，用户可以允许E- mail通信流量被路由，拒绝所有的Telnet通信流量。例如，某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

⑦ acl是什么意思

访问控制表（Access Control List），又称存取控制串行，是使用以访问控制矩阵为基础的访问控制表，每一个（文件系统内的）对象对应一个串行主体。

访问控制表由访问控制条目（access control entries，ACE）组成。访问控制表描述用户或系统进程对每个对象的访问控制权限。访问控制表的主要缺点是不可以有效迅速地枚举一个对象的访问权限。因此，要确定一个对象的所有访问权限需要搜索整个访问控制表来找出相对应的访问权限。

访问控制列表具有许多作用：

1、如限制网络流量、提高网络性能；

2、通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；

3、提供网络安全访问的基本手段；

4、在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等；

5、访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

与 RBAC 比较

ACL 模型的主要替代方案是基于角色的访问控制(RBAC) 模型。“最小 RBAC 模型”RBACm可以与 ACL 机制ACLg进行比较，其中仅允许组作为 ACL 中的条目。Barkley (1997)表明RBACm和ACLg是等效的。

在现代 SQL 实现中，ACL 还管理组层次结构中的组和继承。因此，“现代 ACL”可以表达 RBAC 表达的所有内容，并且在根据管理员查看组织的方式表达访问控制策略的能力方面非常强大（与“旧 ACL”相比）。

⑧ 思科Cisco路由器的ACL控制列表设置

1、根据问题1，需在在switch3上做acl，其PC3不能访问服务器192.168.3.3，命令如下：

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒绝网络192.168.4.4访问服务器192.168.3.3。

switch3(config)#access-list 100 peimit ip any any //允许其他主机访问。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in //在路由器f0/5接口入方向下调用此ACL 100。

2、根据问题2，PC0、PC1、PC2之间访问关系，如下命令：

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止访问外网

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允许访问PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允许访问PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止访问192.168.1.0网段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in //分别在switch3上调用acl 101和102。

3、根据问题3，acl分为标准acl和扩展acl，其标准acl访问控制列表号为1-99，扩展acl访问控制列表号为100-199，每条acl下又能创建多条规则，但一个接口下只能调用一条acl。

4、根据问题4，其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24，表示的是192.168.1.0~192.168.1.255地址范围，命令为：

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允许192.168.0.0/16地址访问任何网络。

(8)访问控制列表acl扩展阅读：

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTP、SNMP和NIP等。

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。