ACL技術在路由器中被廣泛采用，它是一種基于包過濾的流控制技術。標準訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡出網(wǎng)策略。隨著局域網(wǎng)內部網(wǎng)絡資源的增加，一些企業(yè)已經開始使用ACL來控制對局域網(wǎng)內部資源的訪問能力，進而來保障這些資源的安全性。

ACL技術可以有效的在三層上控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問，它可以具體到兩臺網(wǎng)絡設備間的網(wǎng)絡應用，也可以按照網(wǎng)段進行大范圍的訪問控制管理，為網(wǎng)絡應用提供了一個有效的安全手段。

一方面，采用ACL技術，網(wǎng)絡管理員需要明確每一臺主機及工作站所在的IP子網(wǎng)并確認它們之間的訪問關系，適用于網(wǎng)絡終端數(shù)量有限的網(wǎng)絡。對于大型網(wǎng)絡，為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時，巨大的網(wǎng)絡終端數(shù)量，同樣會增加管理的復雜度和難度。另一方面，維護ACL不僅耗時，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強，并且牽涉到網(wǎng)絡的整體規(guī)劃，它的使用對于策略制定及網(wǎng)絡規(guī)劃的人員的技術素質要求比較高。因此，是否采用ACL技術及在多大的程度上利用它，是管理效益與網(wǎng)絡安全之間的一個權衡。
訪問控制列表從概念上來講并不復雜，復雜的是對它的配置和使用，許多初學者往往在使用訪問控制列表時出現(xiàn)錯誤。
下面是對幾種訪問控制列表的簡要總結。
◆標準IP訪問控制列表
一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。
◆擴展IP訪問控制列表
擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
◆命名的IP訪問控制列表
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的語句與編號方式中相似。
◆標準IPX訪問控制列表
標準IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網(wǎng)絡號和目的網(wǎng)絡號，同樣可以檢查源地址和目的地址的節(jié)點號部分。
◆擴展IPX訪問控制列表
擴展IPX訪問控制列表在標準IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協(xié)議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。
◆命名的IPX訪問控制列表
與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標準和擴展之分。

【相關文章】

• 專題：訪問控制列表(ACL)介紹

• 輕松學習理解ACL訪問控制列表

• 訪問控制列表概述