什么是网络访问控制列表
网络访问控制列表(ACL,Access Control List)是路由器或防火墙上的一组规则,用来决定哪些数据包可以通过,哪些被拒绝。你可以把它想象成小区门口的保安,只允许登记过的住户和车辆进入,陌生人一律拦下。
在企业网络中,ACL 常用于限制员工访问某些网站、阻止外部攻击流量,或者隔离不同部门之间的通信。
ACL 的基本工作原理
ACL 本质上是一条条按顺序排列的“如果…就…”规则。设备收到数据包后,会从上往下逐条匹配,一旦符合某条规则,就立即执行允许或拒绝操作,不再继续往下看。
每条规则通常包含源IP、目标IP、协议类型(如TCP、UDP)、端口号等信息。比如:‘禁止来自192.168.1.100的设备访问外网的443端口’。
常见 ACL 类型
最常见的两种是标准ACL和扩展ACL:
- 标准ACL只根据源IP地址做判断,适合简单的放行或拦截
- 扩展ACL可以设置源、目标、协议、端口等更详细的条件,灵活性更高
实际配置示例
假设你是一家公司的网络管理员,财务部的电脑不应该访问互联网,但其他部门可以。你可以在核心路由器上配置一条ACL:
access-list 101 deny ip 192.168.2.0 0.0.0.255 any
access-list 101 permit ip any any这条规则的意思是:拒绝来自192.168.2.0网段的所有流量访问任意外部地址,其余流量全部放行。然后把这条ACL应用到对应接口的出方向:
interface GigabitEthernet0/1
ip access-group 101 out限制特定网站访问
有些公司希望员工上班时间不能刷视频。比如要屏蔽抖音的域名相关IP,可以先查到其主要使用HTTPS(端口443),然后写一条扩展ACL:
access-list 102 deny tcp any host 110.242.68.66 eq 443
access-list 102 deny tcp any host 110.242.68.67 eq 443
access-list 102 permit ip any any这样,内网所有设备都无法连接这两个IP的443端口,也就打不开抖音了。不过要注意,大厂CDN IP经常变,这种封法只能临时起作用。
ACL 使用注意事项
ACL 规则顺序非常重要。如果前面一条‘permit any’写得太早,后面的deny规则就永远不会生效。建议先把具体的拒绝规则写在前面,最后加一条隐式的拒绝所有(implicit deny)。
另外,ACL 只能基于IP和端口做过滤,无法识别具体应用内容。要做更精细的控制,得配合防火墙或上网行为管理设备。
测试时可以用ping和telnet验证规则是否生效,改完记得保存配置,否则重启就没了。
小技巧:用命名ACL提高可读性
比起编号ACL,命名ACL更容易维护。比如:
ip access-list extended BLOCK-WEBSITE
deny tcp any host 1.1.1.1 eq 80
permit ip any any名字一目了然,后期修改也方便。
ACL 是网络管理的基础工具,虽然简单,但在日常运维中非常实用。合理使用,既能保障安全,又能避免误伤正常业务。