利用ACL实现网络安全管理

　　【eNet硅谷动力专稿】访问控制列表（ACL）是在路由器上实现的一种网络安全管理的工具。通过访问控制列表提供的一系列工具，可以在最大程度上保障企业网络的安全。

　　如现在一个路由器或者其他设备连接了研发部门、财务部门与行政部门的电脑。若没有采用访问控制列表或者虚拟局域网的话，则各个部门之间就可以畅通无阻的相互访问。这对企业来说，是非常不安全的。为了企业信息数据的安全，一般对一些比较重要的部门，如研发部门、财务部门的电脑都会有一些访问的控制。如研发部门的电脑，只有总经理办公室才可以访问；而财务部门的电脑的话，任何人都不能访问；相反，他们两个部门可以畅通无阻的访问行政办公司室的电脑。当然，以上说的这些访问都是指通过网络访问其共享文件夹等等。

　　要实现以上这个功能，现在基本上有两种技术。一是通过虚拟局地网，还有一个就是通过我今天要讲的访问控制列表。当然，访问控制列表除了实现对访问的控制以外，还可以实现其他很多额外的管理功能，如流量的控制、流量的转发等等功能。所以，其的应用范围要比虚拟局域网广泛的多。

　　一、 访问列表控制是如何控制的

　　要学会采用访问控制列表来管理网络的话，那么了解访问控制列表是如何工作的，是非常必要的一堂基础课程。因为只有了解了其工作原理，我们在后续配置的时候，才能够举一反三，灵活应用访问控制列表。

　　首先，当一个数据包进入到路由器的一个入站进口时，路由器会对其进行检查，看他是否是可以被路由的或者是否可以被桥接的。如果遇到任何不可以被路由的情况，这个数据包就会很不幸的被丢弃。要是数据是可以被路由的，一个路由选择表的入口为它指出了一个目标网络及其他的一些相关信息。路由器就凭着这些信息把数据包转发出去。

　　然后，路由器就会检查目标端口是否有访问列表控制管理。如果没有采用这个管理的话，路由器就会直接把这个数据包通过目标端口转发出去。比如说，从研发部门发送来的一个数据包，其目的地是发向行政部门。若连接行政部门的路由器端口，没有采用访问控制列表管理的话，则数据包就直接转发出去了。不会进行任何的检测。

　　若该端口有访问控制列表限制的话，那就会比较麻烦。如现在行政部门的电脑发送了一个数据包，其目标端口是连接研发部门网络的端口。而该端口是采用了访问控制列表的。则此时路由器就不会随便转发数据包了，而是要根据访问控制列表中定义的规则，根据数据包中包含的信息从上到下对对数据报进行检测。若符合要求的，则通过；不符合要求的就会把数据报丢弃。如果在这个访问控制列表中，下了一道指令，所有从行政部门发送过来的数据包都不能通过，则路由器就会把行政部门发送过来的数据包丢弃掉。

　　这里要注意，有可能访问控制列表中，设置了多条逻辑语句。而只有在数据包跟第一个判断条件语句不匹配的情况下，它才会进行下一个条件的判断。也就是说，只要第一个条件满足时，数据报就会被直接转发了，而不会再进行剩下条件的判断。所以，这个条件的顺序该如何写就显得非常重要了。如你第一个判断语句是来自与行政部门的所有电脑主机都可以访问研发部门，而你第二个判断语句又写到除了行政部门经理以外的主机都不能访问研发部门。则第二个条件就是形同虚设，因为访问控制列表语句的第一个判断条件就满足了，就不会去考虑第二条语句。