3. ACL访问控制列表法

    访问控制列表在路由器中被广泛采用，它是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素，并可以规定符合检查条件的数据包是允许通过，还是不允许通过。访问控制列表通常应用在企业网络的出口控制上，例如企业通过实施访问控制列表，可以有效地部署企业网络出网策略。如控制哪些员工可以访问Internet；员工可以访问哪些Internet站点；员工可以在什么时候访问Internet；员工可以利用Internet收发电子邮件而不可以进行其它活动等。从而保证宝贵的网络资源不至于被浪费，而且使员工在上班时精力集中。

    随着局域网内部网络资源的增加，一些企业已经开始使用访问控制列表来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。如图所示的就是一个应用ACL访问控制列表的示意图。如在路由器A中配置一个访问控制列表，ACL访问控制列表配置允许IP地址为192.168.2.10的工作站通过它访问其它网络IP地址为192.168.5.2的主机，而子网192.168.1.0不能与192.168.2.10及192.168.5.2通信。

点击看大图

    访问控制列表可以有效地在三层上控制网络用户对网络资源的访问，它既可以细致到两台网络设备间的具体的网络应用，也可以按网段进行大范围的访问控制管理，可以说是为网络应用提供了一个有效的安全手段。

    访问控制列表如果广泛用于局域网内部的访问控制，可能最终会变为一种较为“粗犷”型的管理手段。因为采用这种技术，网络管理员需要明确每一台主机及工作站所在的IP子网，并确认它们之间的访问关系，对于网络终端数量有限的网络而言，这不成问题，但对于具有大量网络终端的网络而言，为了完成某些访问控制甚至不得不浪费很多的IP地址资源，同时巨大的网络终端数量，同样会使得管理的复杂性和难度十分巨大。

    另外，维护访问控制列表不仅耗时，而且较大程度上增加了路由器开销。访问控制列表的策略性非常强，并且与网络的整体规划有很大的关系，因此，它的使用对策略制定及网络规划的人员要求比较高，所以是否采用访问控制列表以及在多大程度上利用它，只能是管理效益与网络安全之间的一个权衡。