ACL(访问控制列表)主要指两个技术概念。
第一个是文件系统 ACL,指定用户或组访问文件、目录或系统资源的权限。 操作系统通常参考这些 ACL(由文件所有者或系统管理员配置)来确定是否允许给定用户或组执行读取、写入或执行等操作。
第二个是网络 ACL,通常配置在路由器和防火墙等设备上,定义允许或拒绝网络数据包流的策略。 网络 ACL 根据各种参数评估数据包,包括源 IP 地址、目标 IP 地址、源端口号和目标端口号。 此评估是连续的,从规则集的顶部开始,并且匹配的第一个规则决定对数据包应用的操作(允许或拒绝)。 初始匹配后,后续规则将被忽略。 如果数据包与任何显式 ACL 规则不匹配,则默认应用“隐式拒绝”操作,拒绝该数据包。
此外,F5 BIG-IP 等设备可以实现在第 4-7 层动态应用的高级会话感知 ACL(例如,HTTP 应用层控制)。 这些高级 ACL 功能可实现细粒度的访问策略。 例如,可以授予公司内部用户对内部业务应用的完全访问权限,而访客或外部用户则只能被限制访问可公开访问的网络资源。