ACL访问控制列表深入解析：规则匹配机制与思科华为分类对比

概述

ACL（访问控制列表）是应用在路由器接口的指令列表（即规则），它由一条或多条规则组成。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL 本质上是一种报文过滤器，规则就好比过滤器的滤芯。设备基于这些规则进行报文匹配，过滤出特定的报文，再根据应用 ACL 的业务模块的处理策略来允许或阻止该报文通过。

每条规则（ACE）包含两部分：

• 匹配条件：源 / 目的 IP、协议（TCP/UDP/ICMP）、端口号、时间范围等。
• 执行动作：permit（允许）或 deny（拒绝）。

ACL 作为过滤器，设备通过应用 ACL 来阻止和允许特定流量的流入与流出。如果没有它，任何流量都会自由出入，网络很容易受到攻击。

利用 ACL 的访问控制技术，可提供安全访问、防止网络攻击、提高网络带宽利用率。企业内的重要服务器资源若被随意访问，机密信息极易泄露。使用 ACL 可以指定用户只能访问特定的服务器、网络与服务，避免越权访问。Internet 病毒肆意侵蚀内网，内网环境的安全性堪忧，通过 ACL 封堵高危端口就能阻塞外网攻击流量。网络带宽被各类业务随意挤占，对语音、视频等服务质量要求高的业务造成严重干扰，使用 ACL 可以精确识别和控制流量，限制部分应用以保障核心业务的质量。

基本原理

ACL 基于包过滤技术，在路由器上读取 OSI 七层模型中第三层及第四层包头的信息，如源地址、目的地址、源端口、目的端口等，然后按照预先定义好的规则对包进行过滤，从而实现访问控制。

应用场景

在路由器中，这项技术通常直接称为 ACL，而在防火墙中则更习惯叫做“策略”。策略可以看作是 ACL 的升级版，除了能够基于源 IP、目的 IP、端口、协议过滤数据包外，还能基于应用层数据等更高级别的信息进行过滤。

核心流程

1. 规则配置与应用：管理员在路由器 / 交换机 / 防火墙上创建 ACL，并将它绑定到接口的入方向（inbound）或出方向（outbound），ACL 才会生效。
2. 报文解析：设备收到报文后，提取包头中源 IP、目的 IP、协议、端口等关键字段，准备进行匹配。
3. 顺序匹配（关键）：按照规则编号或配置顺序逐条比对。一旦某条规则匹配，立即执行相应动作并停止后续匹配；若不匹配则继续检查下一条。
4. 隐含规则兜底：所有 ACL 末尾都有一条看不见的 deny any any。如果报文没有匹配任何显式规则，就会被这条默认规则拒绝或丢弃。

匹配机制

匹配机制受到顺序、方向以及最小权限原则的制约。精确或高优先级的规则必须放在前面，例如先拒绝特定 IP，再允许某个网段，务必注意规则设置的逻辑合理性。方向决定了规则在何处生效：在交换机上设置入方向（inbound）匹配，报文进入接口时即被过滤；出方向（outbound）匹配，则报文离开接口时才被过滤。ACL 只对指定方向的数据包进行检查，反方向的数据包不作任何处理。

ACL 规则匹配的详细过程如下：

• 如果匹配第一条规则，则不再往下检查，路由器立刻决定该数据包是允许通过还是拒绝通过。
• 如果不匹配第一条规则，则依次向下检查，直到有任何一条规则匹配为止，路由器同样做出允许或拒绝的决定。
• 如果最后没有任何一条规则匹配，路由器将根据默认规则丢弃该数据包。

由此可见，数据包最终的命运只有两种：要么被允许，要么被拒绝。

ACL 分类

思科标准分类对照表

华为标准分类对照表