隨著Internet/Intranet的飛速發展，全國各企事業單位都在建設局域網并連入互聯網，但信息網絡安全一直是我們關心的問題，所以本文提出了在路由器下通過訪問控制列表(ACL)來構建計算機網絡的防火墻體系結構。

一個組織全局的安全策略應根據安全分析和業務需求分析來決定，因為網絡安全與防火墻關系緊密，所以我們要正確設置網絡的安全策略，使防火墻發揮最大的作用。

網絡防火墻安全策略是指要明確定義哪些數據包允許或禁止通過并使用網絡服務，以及這些服務的使用規則。而且，網絡防火墻安全策略中的每一條規定都應該在實際應用時得到實現。下面我們就路由器下通過訪問控制列表實現安全策略，以達到防火墻的功能，并對其實現及應用進行詳細的敘述。

訪問控制列表的作用
訪問控制列表是應用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至于數據包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當作一種網絡控制的有力工具，用來過濾流入和流出路由器接口的數據包。

建立訪問控制列表后，可以限制網絡流量，提高網絡性能，對通信流量起到控制的手段，這也是對網絡訪問的基本安全手段。在路由器的接口上配置訪問控制列表后，可以對入站接口、出站接口及通過路由器中繼的數據包進行安全檢測。

IP訪問控制列表的分類
標準IP訪問控制列表
當我們要想阻止來自某一網絡的所有通信流量，或者充許來自某一特定網絡的所有通信流量，或者想要拒絕某一協議簇的所有通信流量時，可以使用標準訪問控制列表來實現這一目標。標準訪問控制列表檢查路由的數據包的源地址，從而允許或拒絕基于網絡、子網或主機的IP地址的所有通信流量通過路由器的出口。

擴展IP訪問控制列表
擴展訪問控制列表既檢查數據包的源地址，也檢查數據包的目的地址，還檢查數據包的特定協議類型、端口號等。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協議通信流量通過，而拒絕使用其他協議的流量通過。

命名訪問控制列表
在標準與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數字組合的字符串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。

在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。

通配符掩碼
通配符掩碼是一個32比特位的數字字符串，它被用點號分成4個8位組，每組包含8比特位。在通配符掩碼位中，0表示“檢查相應的位”，1表示“不檢查相應的位”。通配符掩碼與IP地址是成對出現的，通配符掩碼與子網掩碼工作原理是不同的。在IP子網掩碼中，數字1和0用來決定是網絡、子網，還是相應的主機的IP地址。如表示172.16.0.0這個網段，使用通配符掩碼應為0.0.255.255。

在通配符掩碼中，可以用255.255.255.255表示所有IP地址，因為全為1說明所有32位都不檢查相應的位，這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配，這樣只表示一個IP地址，可以用host表示。所以在訪問控制列表中，可以選擇其中一種表示方法來說明網絡、子網或主機。(責任編輯：liucl)