存取控制清單（ACL）設定詳解：精確控製網路流量

存取控制清單（ACL）就像路由器上的“守門人”，決定哪些資料可以通過，哪些必須攔截。它是一種用規則精確控制網路流量的方式，在企業網路、安全策略、邊界防護中廣泛使用。

一、ACL 的作用與類型
ACL 是一組規則，依序檢查每個進入或離開路由器的封包。每條規則可基於 來源位址、目的位址、協定類型、連接埠 等多種維度進行判斷。

常見類型包括：

標準 ACL：僅符合來源 IP 位址，控制較粗，編號範圍為 2000～2999。

擴展 ACL：匹配來源位址 + 目的位址 + 協定類型 + 連接埠號，控制更精細，編號範圍為 3000～3999。

二、ACL 的配對原則
路由器由上而下逐條匹配 ACL 規則；
一旦匹配成功就停止繼續尋找；
如果沒有任何規則匹配，預設行為是丟棄（等價於隱含一條 deny all）；
ACL 必須綁定到介面的方向（in/out），否則設定不生效。
三、上手實驗
網路拓撲圖如下：

1. 配置基礎 IP 位址

設定完成後，外網 PC3 可正常 ping 通內網 PC1。

2. 透過 ACL 阻止特定 IP
目標：阻止 192.168.10.10 存取內部網絡，其它 IP 放行

測試結果：

PC3（192.168.10.10）無法存取內網；
但 PC4 仍然可以正常存取。

3. 查看 ACL 應用與規則

4. 擴展 ACL 範例（按連接埠控制）
目標：只允許 192.168.1.100 存取 Web 服務（TCP 80 連接埠），其餘全部禁止


說明：

rule permit tcp：允許特定主機的 Web 要求；
destination-port eq 80：精確指定 Web 連接埠；
rule deny ip：阻斷其它所有通訊行為。

5. 命名 ACL 範例

命名 ACL 更易於後期維護與識別，建議在複雜場景中使用。

四、總結
存取控制清單（ACL）是網路中極為重要的安全防線。它能幫助我們：

精確限制存取來源與服務；
防止非法入侵；
精細管理數據流量。
配置 ACL 時請牢記三要素：符合規則順序、綁定方向、測試驗證。掌握好這些，網路安全防線就穩固多了！