访问控制列表（ACL）

访问控制列表（ACL）是一组用于控制网络流量、减少网络攻击的规则。这些规则可以用来根据为网络的入站或出站所定义的规则来过滤流量。
ACL特性 – 

1. 所定义的规则集是按序列进行匹配的。也就是说，匹配过程从第一行开始，然后是第二行，再是第三行，以此类推。
2. 这些数据包只会与符合该规则的那些数据包进行匹配。一旦某个规则被匹配到，那么就不会再继续进行其他比较了，此时就会执行该规则所指定的操作。
3. 在每一个ACL的末尾，都隐含着一种拒绝机制：也就是说，如果没有任何条件或规则与数据包匹配，那么该数据包就会被丢弃。
    

一旦访问列表被创建出来之后，就应当将其应用到该接口的入站或出站方向上。
 

• 入站访问列表 – 
  当访问列表被应用于该接口的入站数据包时，首先会根据访问列表对数据包进行处理，然后再将其路由到出站接口。
   
• 出站访问列表 – 
  当在接口的出站数据包上应用了访问列表后，首先该数据包会被路由处理，然后再在出站接口上进行进一步的处理。
   

ACL的类型 – 
主要有两种不同类型的Access-list：

1. 标准访问控制列表 – 
   这些ACL是仅基于源IP地址来创建的。这些ACL可以允许或禁止整个协议套件的通信。它们不会区分诸如TCP、UDP、HTTPS等不同类型的IP流量。通过使用1-99或1300-1999这样的数字来表示，路由器会将其视为标准ACL，而指定的地址则被视作源IP地址。
    
2. 扩展访问列表 – 
   这些就是那些使用源IP地址、目标IP地址、源端口以及目标端口的ACL规则。通过这类ACL规则，我们可以决定哪些IP流量可以被允许或拒绝。这些规则的适用范围分别对应于100-199和2000-2699这两个范围。

此外，还有两种类型的访问列表：

1. 编号访问列表 –这些就是那些一旦创建后就无法被删除的访问列表。也就是说，如果我们想要从某个访问列表中移除某条规则的话，那么在编号型访问列表的情况下是无法实现的。如果我们试图删除访问列表中的某条规则，那么整个访问列表都会被删除。编号型访问列表可以与标准访问列表以及扩展访问列表一起使用。
    
2. 命名访问列表 –在这种类型的访问列表中，会为访问列表分配一个名称来进行标识。与编号型访问列表不同，这种类型的访问列表可以被删除。和编号型访问列表一样，这种类型的访问列表既可以用于标准访问列表，也可以用于扩展访问列表。
    

ACL的规则—— 

1. 标准的Access-list通常应用于目标位置附近（但并非总是如此）。
2. 扩展的Access-list通常应被放置在源位置附近（但并非总是如此）。
3. 我们每个接口、每个协议、每个方向只能指定一个ACL。也就是说，每个接口上只允许存在一个入站和出站ACL。
4. 如果我们使用的是编号式的访问控制列表，那么就无法从其中删除某个规则。如果试图删除某个规则，那么整个ACL都会被删除。而如果我们使用的是名称式的访问控制列表，那么就可以删除特定的规则。
5. 所有被添加到访问列表中的新规则，都会被放在访问列表的末尾。因此，在实施访问列表之前，需要仔细分析整个场景。
6. 由于每个访问列表的末尾都包含了一个隐含的拒绝语句，因此我们的Access-list中至少应该有一个允许语句。否则，所有的流量都会被拒绝。
7. 标准访问列表和扩展访问列表不能具有相同的名称。
    

ACL的优点—— 

• 提升网络性能。
• 它提供了安全性保障，因为管理员可以根据需要配置访问列表，从而阻止那些不需要的数据包进入网络。
• 它能够对网络中的流量进行控制，根据网络的需求来允许或拒绝某些流量。