ACL通过放行和拒绝语句控制网络访问,以此实现安全策略,它是端到端安全解决方案的必要组成部分。

ACL方向。

如果使用的标准的ACL,就应该把它应用在流量传输过程中程离目的地最近的位置。因为标准ACL只能根据源IP地址过滤流量,所以如果被过滤的数据包在路由器的入口处即被丢弃,那就意味着任何主机的全部流量都要被丢弃,而这产生潜在的问题,就是沿途经过的路由器的流量也被过滤。

如果使用扩展ACL ,就应该把它应用到离源最近的位置 。因为扩展ACL可以根据源/目的地址/目的端口来过滤流量,所以它比标准ACL更加精确。数据包在离入口越近的地方丢弃越合理。