acl規則

ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。

網絡中的節點有資源節點和用户節點兩大類，其中資源節點提供服務或數據，用户節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點，阻止非法用户對資源節點的訪問，另一方面限制特定的用户節點所能具備的訪問權限。

在實施ACL的過程中，應當遵循如下三個基本原則：

1.最小特權原則：只給受控對象完成任務所必須的最小的權限。

2.最靠近受控對象原則：所有的網絡層訪問權限控制。

3.默認丟棄原則：在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數據包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要引起重視。

侷限性：由於ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的侷限性，如無法識別到具體的人，無法識別到應用內部的權限級別等。因此，要達到end to end的權限控制目的，需要和系統級及應用級的訪問權限控制結合使用。

1、huawei設置acl命令如下 ：

acl number 3000

rule 0 permit ip source 服務器端的子網 掩碼的反碼 //允許哪些子網訪問服務器

rule 5 deny ip destination 服務器端的子網 掩碼的反碼 //不允許哪些子網訪問服務器

2、綁定到端口：

interface gig 0/1 //進入服務器所在的交換機端口

[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl綁定到端口