訪問控制列表ACL技術

ACL技術可以有效的在三層上控制網路用戶對網路資源的訪問，它可以具體到兩台網路設備間的網路套用，也可以按照網段進行大範圍的訪問控制管理，為網路套用提供了一個有效的安全手段。

一方面，採用ACL技術，網路管理員需要明確每一台主機及工作站所在的IP子網並確認它們之間的訪問關係，適用於網路終端數量有限的網路。對於大型網路，為了完成某些訪問控制甚至不得不浪費很多的IP位址資源。同時，巨大的網路終端數量，同樣會增加管理的複雜度和難度。另一方面，維護ACL不僅耗時，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強，並且牽涉到網路的整體規劃，它的使用對於策略制定及網路規劃的人員的技術素質要求比較高。因此，是否採用ACL技術及在多大的程度上利用它，是管理效益與網路安全之間的一個權衡。

訪問控制列表從概念上來講並不複雜，複雜的是對它的配置和使用，許多初學者往往在使用訪問控制列表時出現錯誤。

下面是對幾種訪問控制列表的簡要總結。

●標準IP訪問控制列表

一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號範圍是從1到99的訪問控制列表是標準IP訪問控制列表。

●擴展IP訪問控制列表

擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協定類型、源地址、目的地址、源連線埠、目的連線埠、建立連線的和IP優先權等。編號範圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

●命名的IP訪問控制列表

所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的語句與編號方式中相似。

●標準IPX訪問控制列表

標準IPX訪問控制列表的編號範圍是800-899，它檢查IPX源網路號和目的網路號，同樣可以檢查源地址和目的地址的節點號部分。

●擴展IPX訪問控制列表

擴展IPX訪問控制列表在標準IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協定類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號範圍是900-999。

●命名的IPX訪問控制列表

與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標準和擴展之分。