为了更加精确地控制流量过滤,您可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL(最多可使用 800 个扩展 ACL)。您也可以对扩展 ACL 命名。
扩展 ACL 比标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL 类似,扩展 ACL 可以检查数据包源地址,但除此之外,它们还可以检查目的地址、协议和端口号(或服务)。如此一来,我们便可基于更多的因素来构建 ACL。例如,扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量,同时拒绝文件传输和网页浏览流量。
图中显示了用来过滤源和目的地址、协议和端口号的扩展 ACL 所使用的逻辑决定路径。在本示例中,ACL 首先过滤源地址,然后过滤源的端口和协议。它接着过滤目的地址,然后是目的端口和协议,最后做出最终的允许-拒绝决定。
我们以前学过,ACL 中的条目是逐个处理的,因此结果“否”并不一定等于“拒绝”。沿着逻辑决定路径前进,您会发现“否”表示转到下一个条目,直到所有条目都测试完毕。只有当所有条目都已处理时,才会作出最终的“允许”或“拒绝”决定。
测试端口和服务
由于扩展 ACL 具备根据协议和端口号进行过滤的功能,因此您可以构建针对性极强的 ACL。利用适当的端口号,您可以通过配置端口号或公认端口名称来指定应用程序。
