ACL

对于许多网管员来说，配置路由器的访问控制列表是一件经常性的工作，可以说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部 Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形，以及其他的一些功能都可以通过访问表来达到目的。

　　访问列表的种类划分

　　目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。

　　基本访问表控制基于网络地址的信息流，且只允许过滤源地址。

　　扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据。

　　表1列出了路由器所支持的不同访问表的号码范围。

　　标准IP访问表

　　标准IP访问表的基本格式为:
    access-list [list number][permit|deny][host/any][wildcard-mask]

　　下面对标准IP访问表基本格式中的各项参数进行解释:

　　1.list number---表号范围

　　标准IP访问表的表号标识是从1到99。

　　2.permit/deny----允许或拒绝

　　关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。

　　3.source address----源地址

　　对于标准的IP访问表，源地址是主机或一组主机的点分十进制表示，如:198.78.46.8。

　　4.host/any----主机匹配

　　host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配，其屏蔽码为0.0.0.0。例如，假定我们希望允许从198.78.46.8来的报文，则使用标准的访问控制列表语句如下:

　　access-list 1 permit 198.78.46.8 0.0.0.0

　　如果采用关键字host，则也可以用下面的语句来代替:

　　access-list 1 permit　host 198.78.46.8

　　也就是说，host是0.0.0.O通配符屏蔽码的简写。

　　与此相对照，any是源地证/目标地址0.O.O.O/255.255.255.255的简写。假定我们要拒绝从源地址198.78.46.8来的报文，并且要允许从其他源地址来的报文，标准的IP访问表可以使用下面的语句达到这个目的: