網絡中常說的ACL是Cisco IOS所提供的一種訪問控制技術，初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術，不過名稱和配置方式都可能有細微的差別。本文所有的配置實例均基于 Cisco IOS的ACL進行編寫。

基本原理：ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。

功能：網絡中的節點資源節點和用戶節點兩大類，其中資源節點提供服務或數據，用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點，阻止非法用戶對資源節點的訪問，另一方面限制特定的用戶節點所能具備的訪問權限。

配置ACL的基本原則：在實施ACL的過程中，應當遵循如下兩個基本原則：

最小特權原則：只給受控對象完成任務所必須的最小的權限

最靠近受控對象原則：所有的網絡層訪問權限控制

局限性：由于ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內部的權限級別等。因此，要達到end to end的權限控制目的，需要和系統級及應用級的訪問權限控制結合使用。

【相關文章】

• A網絡層訪問權限控制技術－ACL詳解

• 專題：訪問控制列表(ACL)介紹