你家小区有门禁,公司前台有访客登记,连你手机上的App都要问“是否允许访问相册”——这些,本质上都是访问控制。网络世界里也一样,ACL(Access Control List,访问控制列表)就是路由器、交换机、防火墙这些设备上最常用的一套“电子门禁规则”。它不 flashy,但天天在干活;你可能没听过它,但你的微信能发出去、视频能播出来,背后很可能就有它默默拦下了不该进来的流量。
ACL 是什么?一句话说清
ACL 就是一张按顺序排列的“放行/拒绝清单”。设备收到一个数据包(比如你点开一个网页时浏览器发出的请求),就从上到下逐条比对这张表:源IP是多少?目标IP是多少?走的是TCP还是UDP?端口号是80还是22?符合哪一条,就按那条的指令执行——permit(放行) 或 deny(拒绝)。一旦匹配成功,立刻执行,不再看后面的规则。
常见类型:标准ACL vs 扩展ACL
家用路由器管理界面里常看到“访问规则”“安全策略”,其实多数就是 ACL 的简化版。专业设备上则分两类:
标准ACL:只认“源IP地址”,像老式单位大门保安,只查你从哪儿来,不问你要去哪、干啥事。适合简单场景,比如“禁止192.168.10.0网段所有设备上网”。
扩展ACL:更精细——源IP、目标IP、协议类型(TCP/UDP/ICMP)、源端口、目标端口,全都能管。就像写字楼前台:不仅看你工牌(源IP),还看你预约了哪个会议室(目标IP+端口)、手里拿的是文件还是咖啡杯(协议类型)。这才是企业网、云服务器真正依赖的ACL形态。
举个真·日常例子
你在家用NAS存了电影,想用手机远程看,但又怕被外网随便扫到。这时可以在路由器上加一条扩展ACL:
access-list 101 permit tcp any host 192.168.1.100 eq 8080
access-list 101 deny ip any any意思是:只允许任意IP通过TCP协议访问你NAS(192.168.1.100)的8080端口(假设这是你影视服务的端口),其余所有流量全部拒绝。既开了门,又锁死了窗。
注意两个“坑”
一是隐含拒绝:每张ACL末尾都自带一条“deny any”,哪怕你没写。所以如果前面没写permit规则,或者规则顺序错了,结果就是“全站禁止”。
二是顺序敏感:ACL从上往下匹配,先写的优先。有人把“deny 192.168.5.0 0.0.0.255”写在了“permit any”后面,结果整个网段都被放过了——规则压根没机会执行。
不只是路由器的事
现在Linux服务器的iptables、Windows防火墙高级设置、甚至Docker容器网络策略,底层逻辑都和ACL一脉相承。你在云平台配置安全组(如阿里云、腾讯云),选“入方向只开放22端口”,本质就是在写一条扩展ACL。懂ACL,等于看懂了半张网络安全地图。
它不炫技,但真实、稳定、无处不在。下次看到“访问被拒绝”,别急着重启,想想——是不是ACL悄悄拦住了你?