ACL，ACL是什么 ？

访问控制列表(ACL)是一种基于包过滤的访问控制技术。

它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段。

ACL的功能：

1、限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。

2、提供对通信流量的控制手段。

3、提供网络访问的基本安全手段。

4、在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

访问控制表（Access Control List），又称存取控制串列，是使用以访问控制矩阵为基础的访问控制表，每一个（文件系统内的）对象对应一个串列主体。

访问控制表由访问控制条目（access control entries，ACE）组成。访问控制表描述用户或系统进程对每个对象的访问控制权限。访问控制表的主要缺点是不可以有效迅速地枚举一个对象的访问权限。因此，要确定一个对象的所有访问权限需要搜索整个访问控制表来找出相对应的访问权限。

访问控制列表具有许多作用：

1、如限制网络流量、提高网络性能；

2、通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；

3、提供网络安全访问的基本手段；

4、在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等；

5、访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

与 RBAC 比较

ACL 模型的主要替代方案是基于角色的访问控制(RBAC) 模型。“最小 RBAC 模型” RBACm可以与 ACL 机制ACLg进行比较，其中仅允许组作为 ACL 中的条目。Barkley (1997) 表明RBACm和ACLg是等效的。

在现代 SQL 实现中，ACL 还管理组层次结构中的组和继承。因此，“现代 ACL”可以表达 RBAC 表达的所有内容，并且在根据管理员查看组织的方式表达访问控制策略的能力方面非常强大（与“旧 ACL”相比）。