访问列表 (ACL)

ACLs（访问列表）是一组用于规范网络流量并最大程度地减少网络攻击的规则。通过一组针对网络进出流量指定的规则，ACLs 用于过滤流量。

访问列表的特点 -

• 定义的规则集从第一行开始逐行匹配，然后是第二行，然后是第三行，以此类推。
• 数据包仅匹配到规则匹配为止。一旦规则匹配，将不再进行进一步的比较，该规则将被应用。
• 每个 ACL 结束时都有一个隐含的拒绝，这意味着如果条件或规则未得到满足，数据包将被丢弃。

构建完访问列表后，应将其应用于接口的入站或出站流量。

• 入站访问列表 - 当访问列表应用于接口的入站数据包时，入站数据包会首先根据访问列表进行处理，然后再转发到出站接口。
• 出站访问列表 - 当访问列表应用于接口的出站数据包头时，出站接口会先路由数据包，然后再进行处理。

访问列表的类型 -

访问列表主要有两种类型，如下所示：

• 标准访问列表 : 这些访问列表仅使用源 IP 地址创建。这些 ACL 要么允许整个协议集，要么阻止整个协议集。TCP、UDP、HTTPS 和其他类型的 IP 流量没有区别。如果您使用数字 1-99 或 1300-1999，路由器将识别它为标准 ACL，并将指定地址识别为源 IP 地址。
• 扩展访问列表 : 此 ACL 使用源 IP、目标 IP、源端口和目标端口。我们还可以使用这些 ACL 指定应该允许或阻止哪些 IP 流量。这些 ACL 使用 100-199 和 2000-2699 的范围。客户端机器上的进程在时间 T 0 向时钟服务器发送请求以获取时钟时间（服务器上的时间）。

此外，还有两种类型的访问列表：

• 编号访问列表 是创建后无法单独删除的访问列表；例如，如果我们想删除访问列表中的任何规则，在编号访问列表的情况下是不允许的。如果我们尝试从编号访问列表中删除一条规则，整个访问列表将被删除。标准访问列表和扩展访问列表都可以使用编号访问列表。
• 命名访问列表: 在此类型的访问列表中，会给访问列表一个名称以标识它。与编号访问列表不同，命名访问列表可以被删除。与编号访问列表一样，这些可以与标准访问列表和扩展访问列表一起使用。

访问列表的指导原则 -

• 通常，标准访问列表靠近目标使用（但不总是）。
• 通常，扩展访问列表靠近源使用（但不总是）。
• 我们每个接口、每个协议、每个方向只能分配一个 ACL，这意味着每个接口最多只能有一个入站 ACL 和一个出站 ACL。
• 如果我们使用的是编号访问列表，我们无法从中删除一条规则。如果我们尝试从编号访问列表中删除一条规则，整个 ACL 将被删除。如果使用的是命名访问列表，则可以删除特定规则。
• 在实现访问列表之前，请仔细分析整个场景，因为添加的每个新规则都将放置在访问列表的底部。
• 每个访问列表最后都有一个隐含的拒绝，所以我们需要至少有一个 permit 语句；否则，所有流量都将被阻止。
• 扩展访问列表不能与标准访问列表同名。

访问列表的优点 -

• 提高网络效率。
• 提供安全性，因为管理员可以自定义访问列表以满足特定需求并防止恶意数据包进入网络。
• 根据网络需求允许或阻止流量，从而提供流量控制。