Cisco访问表基础学习目的与应用

概述

访问表（ access list）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。这样的定义并不意味着安全中任何问题都能够用访问表解决，也不意味着使用访问表根据报文中特定参数建立一种安全策略或者实现一个数据流。

目的

虽然访问表可以执行前面所提到的一些功能，甚至还能支持其他功能，请读者一定要记住，访问表的主要作用是基于已经建立的标准来允许或拒绝报文流，这一点十分重要。这样，报文过滤标准将决定所实现的访问表类型，当然，一个访问表并不总是能代表一种策略。

例如，读者可能就需要创建一个访问表，以防止某个L A N上雇员在上班时间访问I n t e r n e t上的We b页面。这样的访问表就需要使用特定的参数，当该访问表应用到路由器的接口上时，就实现了该组织的一种访问策略。

应用

对于路由器接口，一个访问表必须在创建之后应用到某个接口上，它才能产生作用。因为通过接口的数据流是双向的，所以访问表要应用到接口的特定方向上，向外的方向或者向内的方向。此处，术语“向内的（i n b o u n d）”表示数据流流向路由器，而“向外的（o u t b o u n d）”表示数据流从路由器流出。
图3 - 1展示了一个路由器，它有一个串行口和两个以太网口。我们将在本章中多次引用这个示例网络，它的串行口提供到I n t e r n e t的连接，而端口E 0和E 1则提供两个以太网的连接。

注意，在图3 - 1中，每一个接口都有两个箭头。指向路由器的箭头表示接口上的向内方向流量，从路由器指出的箭头表示接口上的向外方向流量。