Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >访问控制(ACL)原理详解

访问控制(ACL)原理详解

作者头像
可惜已不在
发布于 2024-10-17 08:15:21
发布于 2024-10-17 08:15:21
2920
举报
文章被收录于专栏:网络网络
关联问题
换一批

一.什么是访问控制(ACL)

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过

为什么使用访问控制

ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。

ACL可以做什么?

借助ACL,可以实现以下功能:

  • 提供安全访问:企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。使用ACL可以指定用户访问特定的服务器、网络与服务,从而避免随意访问的情况。
  • 防止网络攻击:Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。使用ACL可以封堵高危端口,从而达成为外网流量的阻塞。
  • 提高网络带宽利用率:网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。使用ACL实现对网络流量的精确识别和控制,限制部分网络流量从而保障主要业务的质量。

二.ACL的组成

ACL的每一条规则都会允许或者阻止特定的流量,在定义一条合理的ACL规则之前,需要了解其基本组成。

  • ACL标识:使用数字或者名称来标识ACL。
    • 使用数字标识ACL:不同的类型的ACL使用不同的数字进行标识。关于每类ACL编号的详细介绍,请参见ACL的分类。
    • 使用名称标识ACL:可以使用字符来标识ACL,就像用域名代替IP地址一样,更加方便记忆。
  • 规则:即描述匹配条件的判断语句。
    • 规则编号:用于标识ACL规则,所有规则均按照规则编号从小到大进行排序。
    • 动作:包括permit/deny两种动作,表示设备对所匹配的数据包接受或者丢弃。
    • 匹配项:ACL定义了极其丰富的匹配项。包括生效时间段、IP协议(ICMPTCPUDP等)、源/目的地址以及相应的端口号(21、23、80等)。关于每种匹配项的详细介绍,请参见ACL的常用匹配项
ACL的分类

随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:

基本ACL

基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。

高级ACL

相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。

二层ACL

在公司的内部网络中,想对特定的终端进行访问权限控制,这时就需要二层ACL。使用二层ACL,可以根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息对流量进行管控。

用户自定义ACL

用户自定义ACL根据报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,对IPv4报文进行过滤。用户自定义ACL比基本ACL、高级ACL和二层ACL提供了更准确、丰富、灵活的规则定义方法

用户ACL

由于企业内部同部门的工作人员的终端不在同一个网段难以管理,需要将其纳入一个用户组,并对其用户组进行访问权限管理,这时候就需要用户ACL。用户ACL在高级ACL的基础上增加了用户组的配置项,可以实现对不同用户组的流量管控。

汇总

ACL

ACL编号

基本ACL

2000~2999

高级ACL

3000~3999

二层ACL

4000~4999

用户自定义ACL

5000~5999

用户ACL

6000~6031

三.使用步骤

ACL的使用分为两个步骤:

  1. 设置相应的ACL规则。 为ACL设置相关规则的时候,需要了解入口流量与出口流量,如下图所示:入口流量指的是进入设备(以路由器为例)接口的流量(无论来源是外部Internet还是内部网络),同理,出口流量指的是从设备接口流出的流量。

2. 将ACL应用在相应的设备接口的特定方向(in/out)上。

规则设置完成后,需要将ACL应用在设备的接口上才能正常工作。因为所有的路由和转发决 策都是由设备的硬件做出的,所以ACL语句可以更快地执行

匹配机制

ACL的匹配机制

ACL规则的匹配遵循”一旦命中即停止匹配”的机制。当ACL处理数据包时,一旦数据包与某条ACL规则匹配,就会停止匹配,设备根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句去匹配数据包直到列表的末尾。一般在ACL的列表末尾会有一条隐式的拒绝所有的语句,所以数据包与所有的规则都不匹配的情况下会被直接拒绝。此时设备不会将此数据包流入或流出接口,而是直接将其丢弃。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2024-09-17,如有侵权请联系 cloudcommunity@tencent.com 删除
接口
流量
原理
字符串
acl

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

接口
流量
原理
字符串
acl
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
多租户的 4 种常用方案
2111
亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?
1409
60页PPT全解:DeepSeek系列论文技术要点整理
2512
Java与Go差别在哪,谁要被时代抛弃?
2021
大模型 Token 究竟是啥:图解大模型Token
1401
MCP协议详解:一文读懂跨时代的模型上下文协议
5937
网络工程师入门系列 | ACL基础详解
tcp/ip
为了更安全的公司网络环境,可以使用ACL提供的基本通信流量过滤能力来实现。
网络技术联盟站
2020/01/13
1.7K0
网络工程师入门系列 | ACL基础详解
访问控制列表ACL配置规则_路由交换
tcp/ip
定义一系列不同的规则对数据包进行分类,针对不同的报文进行不同的处理,实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
张旭博客
2022/12/27
9290
访问控制列表ACL配置规则_路由交换
华为ACL 原理与配置知识点总结及案例
网络通信acl
以下是《第12章:ACL原理与配置》的配套章节题库,题型覆盖选择题、判断题、简答题与综合题,适合巩固核心知识点、练习应用能力、模拟考试等场景。
知孤云出岫
2025/05/21
2840
华为ACL 原理与配置知识点总结及案例
访问控制列表ACL详解和配置案例,建议收藏!
tcp/ip
「ACL」(Access Control List)称为访问控制列表,顾名思义它是一个列表形式的一组「规则」。ACL能够识别一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素,从而能够针对上述元素进行报文的匹配。
网络技术联盟站
2023/03/13
4.6K0
访问控制列表ACL详解和配置案例,建议收藏!
你必须要知道的访问控制列表ACL
VPN 连接面向对象编程tcp/ip日志服务
为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。这些规则就是通过访问控制列表(Access Control List)体现的。
网络技术联盟站
2020/04/30
1.8K0
浅谈ACL(访问控制列表)
accesstcp/ip
ACL(访问控制列表)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器,那些数据包可以接收,那些数据包需要拒绝。 基本原理为:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量。 路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定是转发还是丢弃数据包。 ACL有三种类型: 1、标准ACL:根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。 2、扩展ACL:根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199. 3、命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。 ACL依靠规则对数据包执行检查,而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查,这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。
小手冰凉
2019/09/10
4K0
浅谈ACL(访问控制列表)
H3C ACL概述
tcp/ip
    随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL( Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
py3study
2020/01/15
7980
华为ensp中高级acl (控制列表) 原理和配置命令 (详解)
华为流量配置原理acl
高级acl(Access Control List)是一种访问控制列表,可以根据数据包的源IP地址、目标IP地址、源端口、目标端口、协议、ICMP类型等多种因素进行过滤。高级acl比基本acl更加灵活,可以提供更细粒度的控制。
神秘泣男子
2024/06/03
2.6K0
华为ensp中高级acl (控制列表) 原理和配置命令 (详解)
ensp学习第七弹acl
ftptcp/ip
访问控制列表acl是由一条或者多条的规则组成的集合,规则就是描述报文匹配条件的判断语句,这些条件包括报文的源地址,目的地址,端口号。
用户8447427
2022/08/18
7190
ensp学习第七弹acl
访问控制列表(ACL)基本的配置以及详细讲解「建议收藏」
tcp/ip
网络时代的高速发展,对网络的安全性也越来越高。西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢?
全栈程序员站长
2022/09/20
4.8K0
访问控制列表(ACL)基本的配置以及详细讲解「建议收藏」
华为 HCIP-Datacom H12-821 题库 (23)
华为路由路由器配置协议
C、VRRP 备份组可由一个 Master 设备和多个 Master 设备组成,被当作一个共享局域网内主机的缺省网关
可惜已不在
2025/01/20
1270
访问控制列表(一)入门
udptcp/ipaccess
传输层两个重要协议TCP和UDP,本章将详细介绍其首部格式,TCP连接建立与终止的过程。
网络豆
2022/11/20
5900
访问控制列表(一)入门
网络工程师从入门到精通-通俗易懂系列 | 访问控制列表-ACL原来还可以这样理解,果断收藏!
accesstcp/ip
· 每种协议一个 ACL :要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。
网络技术联盟站
2019/08/02
1.3K0
网络工程师从入门到精通-通俗易懂系列 | 访问控制列表-ACL原来还可以这样理解,果断收藏!
01-访问控制列表
配置协议访问控制列表acl流量
ACL需要设备接口进行入方向或出方向的调用。根据这些规则对数据进行分类,对不同类型的报文执行不同得物处理动作
奶油话梅糖
2025/03/03
1150
01-访问控制列表
Linux防火墙
网络安全httpnatNAT 网关
1. 包过滤防火墙 2. 网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过 3. 优点:对用户来说透明,处理速度快且易于维护 4. 缺点:无法检查应用层数据,如病毒等
咻一咻
2020/05/29
6.4K0
华为网络工程师 | 如何配置ACL?
ftptcp/ip
ACL,是Access Control List的简称,中文名称叫“访问控制列表”。
网络技术联盟站
2019/07/23
1.8K0
访问控制列表(ACL)配置详解:精确控制网络流量
访问控制列表acl接口配置主机
访问控制列表(ACL)就像路由器上的“守门人”,决定哪些数据可以通过,哪些必须拦截。它是一种用规则精确控制网络流量的方式,在企业网络、安全策略、边界防护中广泛使用。
神的孩子都在歌唱
2025/04/18
5040
访问控制列表(ACL)配置详解:精确控制网络流量
Cisco-扩展ACL访问控制列表
访问控制列表aclcisco配置网络
网络已经成为了我们生活中不可或缺的一部分,它连接了世界各地的人们,让信息和资源得以自由流动。随着互联网的发展,我们可以通过网络学习、工作、娱乐,甚至是社交。因此,学习网络知识和技能已经成为了每个人都需要掌握的重要能力。
可惜已不在
2024/10/17
1390
Cisco-扩展ACL访问控制列表
网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)[通俗易懂]
accesstcp/ip网络安全
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。(抄自百度)
全栈程序员站长
2022/09/06
7.9K0
网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)[通俗易懂]
Linux防火墙iptables(二)
linux
上一篇文章我们说了一些iptables/netfilter的基础知识,本文我们来介绍一下iptables的规则编写。Iptables的规则可以概括的分为两个方面:1、报文的匹配条件;2、匹配到后的处理动作。其中匹配条件分为基本匹配条件和扩展匹配条件,处理动作分为内建处理机制和自定义处理机制。这里需要注意的一点是,自定义处理机制(自定义链)不在内核中所以报文是不会经过自定义链的,它只能被内建机制引用即当做处理的子目标。
用户2645267
2018/08/10
2.3K0
推荐阅读
编辑精选文章
多租户的 4 种常用方案亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?60页PPT全解:DeepSeek系列论文技术要点整理Java与Go差别在哪,谁要被时代抛弃?大模型 Token 究竟是啥:图解大模型TokenMCP协议详解:一文读懂跨时代的模型上下文协议
相关讨论
ZGC原理?新媒体创业的技术原理?2020-08-25:BloomFilter的原理以及Zset的实现原理。如何回答呢?
相关课程
微信小程序应用实践_《锋运票务系统》低代码实战营TDSQL for PG训练营
网络工程师入门系列 | ACL基础详解
1.7K0
访问控制列表ACL配置规则_路由交换
9290
华为ACL 原理与配置知识点总结及案例
2840
访问控制列表ACL详解和配置案例,建议收藏!
4.6K0
你必须要知道的访问控制列表ACL
1.8K0
浅谈ACL(访问控制列表)
4K0
H3C ACL概述
7980
华为ensp中高级acl (控制列表) 原理和配置命令 (详解)
2.6K0
ensp学习第七弹acl
7190
访问控制列表(ACL)基本的配置以及详细讲解「建议收藏」
4.8K0
华为 HCIP-Datacom H12-821 题库 (23)
1270
访问控制列表(一)入门
5900
网络工程师从入门到精通-通俗易懂系列 | 访问控制列表-ACL原来还可以这样理解,果断收藏!
1.3K0
01-访问控制列表
1150
Linux防火墙
6.4K0
华为网络工程师 | 如何配置ACL?
1.8K0
访问控制列表(ACL)配置详解:精确控制网络流量
5040
Cisco-扩展ACL访问控制列表
1390
网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)[通俗易懂]
7.9K0
Linux防火墙iptables(二)
2.3K0
相关推荐
网络工程师入门系列 | ACL基础详解
更多 >
可惜已不在0
LV.1
这个人很懒,什么都没有留下~
文章
105
获赞
102
专栏
1
作者相关精选
换一批
加入讨论
的问答专区 >
用户65919980
相关课程
一站式学习中心 >
微信小程序应用实践_《锋运票务系统》
323人在学
云托管 CloudBase Run
Serverless 容器服务
对象存储
云数据库 MySQL
低代码实战营
270人在学
微搭低代码
TDSQL for PG训练营
187人在学
分布式数据库 TDSQL
数据库
云数据库 PostgreSQL
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
1