访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。
例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。就是将高级ACL应用在流策略模块,使设备可以对外网用户访问内网中服务器的报文进行过滤,达到限制外网用户访问该服务器权限的目的。
配置步骤如下
1.配置高级ACL和基于ACL的流分类,使设备可以基于ACL,对用户访问服务器的报文进行过滤,从而禁止外网用户访问该服务器。
2.配置流行为,允许匹配上ACL的permit规则的报文通过。
3. 配置并应用流策略,使ACL和流行为生效。