访问控制列表ACL技术

　　ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。
　　ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。
　　一方面，采用ACL技术，网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系，适用于网络终端数量有限的网络。对于大型网络，为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时，巨大的网络终端数量，同样会增加管理的复杂度和难度。另一方面，维护ACL不仅耗时，而且在较大程度上增加路由器开销。访问控制列表的策略性非常强，并且牵涉到网络的整体规划，它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此，是否采用ACL技术及在多大的程度上利用它，是管理效益与网络安全之间的一个权衡。
　　访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。
　　下面是对几种访问控制列表的简要总结。
　　●标准IP访问控制列表
　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
　　●扩展IP访问控制列表
　　扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
　　●命名的IP访问控制列表
　　所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。
　　●标准IPX访问控制列表
　　标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。
　　●扩展IPX访问控制列表
　　扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。
　　●命名的IPX访问控制列表
　　与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。