本文转自:http://yytian.blog.51cto.com/535845/289951

1. 包过滤
  包过滤作为一种网络安全保护机制,在转发数据包时,先检查包头信息(例如包的源地址/目的地址、源端口/目的端口和上层协议等),然后与设定的规则进行比较,根据比较的结果决定对该数据包进行转发还是丢弃处理,一般来说这种包过滤主要应用在一些特殊服务的访问上(如防止远程登录、防病毒)和特殊环境的访问上(不同Vlan间的互访或者对服务器的访问)。一般都是在路由器和交换机的端口上以及SVI端口应用acl来实施一定的访问策略,在网络层和传输层上过滤报文。
2. nat
  natnetwork address translation,地址转换)是将数据报报头中的ip地址转换为另一个ip地址的过程,主要用于实现内部网络(私有ip地址)访问外部网络(公有ip地址)的功能。
  在实际应用中,我们可能仅希望某些内部主机(具有私有ip地址)具有访问internet(外部网络)的权利,而其他内部主机则不允许。这是通过将aclnat地址池进行关联来实现的,即只有满足acl条件的数据报文才可以进行地址转换,从而有效地控制地址转换的使用范围。
3. ipsec
  ipsecip security)协议族是ietf制定的一系列协议,它通过ip层的加密与数据源验证机制,确保在internet上参与通信的两个网络节点之间传输的数据包具有私有性、完整性和真实性。
  ipsec能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法和密钥。实际应用中,数据流首先通过acl来定义,匹配同一个acl的所有流量在逻辑上作为一个数据流。然后,通过在安全策略中引用该acl,从而确保指定的数据流受到保护。
4. qos
  qosquality of service,服务质量)用来评估服务方满足客户需求的能力。在internet上保证qos的有效办法是增加网络层在流量控制和资源分配上的功能,为有不同服务需求的业务提供有区别的服务。
  流分类是有区别地进行服务的前提和基础。实际应用中,首先制定流分类策略(规则),流分类规则既可以使用ip报文头的tos字段内容来识别不同优先级特征的流量,也可以通过acl定义流分类的策略,例如综合源地址/目的地址/mac地址、ip协议或应用程序的端口号等信息对流进行分类。然后,在流量监管、流量整形、拥塞管理和拥塞避免等具体实施上引用流分类策略或acl.
   以上为常见的ACL使用的方式,在下面的文章里我会针对每个应用都给出一个实例,来进一步的认识下ACL。