访问控制列表ACL应用

ACL的应用的场景

应用在三层接口

• Nat地址转换

Nat（network address translation，地址转换）是将数据报报头中的ip地址转换为另一个ip地址的过程，主要用于实现内部网络（私有ip地址）访问外部网络（公有ip地址）的功能。在实际应用中，我们可能仅希望某些内部主机（具有私有ip地址）具有访问internet（外部网络）的权利，而其他内部主机则不允许。

这是通过将acl和nat地址池进行关联来实现的，即只有满足acl条件的数据报文才可以进行地址转换，从而有效地控制地址转换的使用范围。

• 包过滤

　　包过滤作为一种网络安全保护机制，用于在两个不同安全级别的网络之间控制流入和流出网络的数据。防火墙转发数据包时，先检查包头信息（例如包的源地址/目的地址、源端口/目的端口和上层协议等），然后与设定的规则进行比较，根据比较的结果决定对该数据包进行转发还是丢弃处理。

　　为了实现数据包过滤，需要配置一系列的过滤规则。采用acl定义过滤规则，然后将acl应用于防火墙不同区域之间，从而实现包过滤

• ipsec

　　ipsec（ip security）协议族是ietf制定的一系列协议，它通过ip层的加密与数据源验证机制，确保在internet上参与通信的两个网络节点之间传输的数据包具有私有性、完整性和真实性。

　　ipsec能够对不同的数据流施加不同的安全保护，例如对不同的数据流使用不同的安全协议、算法和密钥。实际应用中，数据流首先通过acl来定义，匹配同一个acl的所有流量在逻辑上作为一个数据流。然后，通过在安全策略中引用该acl，从而确保指定的数据流受到保护

• qos

　　qos（quality of service，服务质量）用来评估服务方满足客户需求的能力。在internet上保证qos的有效办法是增加网络层在流量控制和资源分配上的功能，为有不同服务需求的业务提供有区别的服务。

流分类是有区别地进行服务的前提和基础。实际应用中，首先制定流分类策略（规则），流分类规则既可以使用ip报文头的tos字段内容来识别不同优先级特征的流量，也可以通过acl定义流分类的策略，例如综合源地址/目的地址/mac地址、ip协议或应用程序的端口号等信息对流进行分类。然后，在流量监管、流量整形、拥塞管理和拥塞避免等具体实施上引用流分类策略或acl.

• 路由策略

　　路由策略是指在发送与接收路由信息时所实施的策略，它能够对路由信息进行过滤。　　路由策略有多种过滤方法。其中，acl作为它的一个重要过滤器被广泛使用，即用户使用acl指定一个ip地址或子网的范围，作为匹配路由信息的目的网段地址或下一跳地址

• 登录控制

通过定义ACL规则进行登录控制，允许需要的访问，拒绝不期望的访问，有效防止未经授权用户的非法接入，从而提高网络安全。

举个例子，网络设备一般情况下只允许管理员登录才比较安全，不是谁都可以登录的。这时候就需要在Telnet中应用ACL，并在ACL中定义哪些主机可以登录，哪些主机不能。

通过ACL进行登录控制的业务模块主要有Telnet、SNMP、FTP、TFTP。