什么是ACL,它的五要素是?

ACL（Access Control Lists，缩写ACL），存取控制列表。ACL是一套与文件相关的用户、组和模式项，此文件为所有可能的用户 ID 或组 ID 组合指定了权限。 ACL的作用 限制网络流量提高网络性能 通过设定端口上、下行流量的带宽，ACL可以定制多种应用的带宽管理，避免因为带宽资源的浪费而影响网络的整体性能。如果能够根据带宽大小来制定收费标准，那么运营商就可以根据客户申请的带宽，通过启用ACL方式限定访问者的上、下行带宽，实现更好的管理，充分利用现有的网络资源，保证网络的使用性能。 有效的岁液通信流量控制手段 ACL 可以限定或简化路由选择更新信息的长度，用来限制通过路由器的某一网段的流量。 提供网络访问的基本安全手段 ACL 允许某一主机访问一个网络，阻止另一主机访问同样的网络，这种功能可以有效防止未经授权用户的非法接入。如果在边缘接入层启用二、三层网络访问的基本安全带者策略，ACL能够将用户的MAC、IP地址、端口号与交换机的端口进行绑定，有效防止其他用户访问同样的网络。 在交换机（路由器）接口处，ACL决定哪种类型的通信流量被转发或被拒绝。根据数据包的协议（IP、IPX等），ACL指定某种类型的数据包具有更高的优先级，在同等情况下优先被交换机（路由器）处理。这种功能保证交换机（路由器）丢弃不必要的数据包，通过不同的队列来有效限制网络流量，减少网络拥塞。 在网络中，ACL不但可以让网管员用来制定网络策略，对个别用户或特定数据流进行控制；也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击，到更多样化更复杂的黑客攻击，ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力，网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。 ACL规则 网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。 初期仅在路由器上支持，近些年来已经扩蠢雀薯展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。

访问控制表（Access Control List），又称存取控制串列，是使用以访问控制矩阵为基础的访问控制表，每一个（文件系统内的）对象对应一个串列主体。

访问控制表由访问控制条目（access control entries，ACE）组成。访问控制表描述用户或系统进程对每个对缺肆象的访问控制权限。访问控制表的主要缺点是不可以有效迅速地枚举一个对象的访问权限。因此，要确定一个对象的所有访问权限需要搜索整个访问控制表来找出相对应的访问权限。

访问控制列表具有许多作用：

1、如限制网络流量、碰扮侍提高网络性能笑吵；

2、通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；

3、提供网络安全访问的基本手段；

4、在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等；

5、访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

与 RBAC 比较

ACL 模型的主要替代方案是基于角色的访问控制(RBAC) 模型。“最小 RBAC 模型” RBACm可以与 ACL 机制ACLg进行比较，其中仅允许组作为 ACL 中的条目。Barkley (1997) 表明RBACm和ACLg是等效的。

在现代 SQL 实现中，ACL 还管理组层次结构中的组和继承。因此，“现代 ACL”可以表达 RBAC 表达的所有内容，并且在根据管理员查看组织的方式表达访问控制策略的能力方面非常强大（与“旧 ACL”相比）。

1、打开华为AR路由器的系统设置困察。

2、选择恢复在防火墙策略状态。培尺袜配激

3、在系统预装时，可以删除路由器中的其他文件，继续选择配置高级ACL实现访问控制。

---