首页《傲世皇朝注册挂机o ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

　　o 在本章节中，将介绍ACL的基本原理和基本作用，ACL的不同种类及特点，ACL的基本组成和匹配顺序，通配符的使用方法和ACL的相关配置。

　　o 某公司为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。

　　o ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

　　· 步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。

　　· 系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

　　· 通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。

　　· 通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。

　　可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。

　　使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。

　　既可使用IPv4报文的源IP地址或源UCL（User Control List）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

　　o 系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小，越容易匹配

　　· 如果应用了Inbound方向的ACL，则判断rule是否放行报文，若是permit则放行报文

　　· 当路由器中有相关报文的路由时，判断接口上是否应用了Outbound方向的ACL

　　· 如果应用了Outbound方向的ACL，则判断rule是否放行报文，若是permit则放行报文