网络访问控制列表基于协议详解

你有没有遇到过家里Wi-Fi突然连不上某个网站，或者公司网络打不开某些应用的情况？其实背后可能就是“网络访问控制列表基于协议”在起作用。听起来专业，但理解了原理，你会发现它就像小区门禁系统一样简单。

可以把它想象成一张“放行名单”。比如你住的小区，保安只会让名单上的人或车进去。在网络里，路由器或防火墙通过ACL决定哪些数据包能通过，哪些被拦下。而“基于协议”的意思，就是这张名单会根据通信使用的协议类型来判断是否放行。

平时上网用的HTTP、HTTPS，发邮件用的SMTP，看视频直播可能用到RTSP，还有文件传输用的FTP——这些都是不同的协议。每种协议对应不同的端口号和通信规则。比如：

假设你在公司做IT管理，想禁止员工上班时间看视频网站。你可以设置一条规则：拒绝所有使用RTSP协议的数据包通过。这样一来，哪怕他们打开播放页面，视频也加载不出来。

又比如，你家里的智能摄像头通过特定协议上传数据，为了安全，你可以在路由器上配置ACL，只允许这个协议的数据出站，其他不明流量一律拦截。

在Cisco设备中，你可以这样写一条基于协议的规则：

access-list 101 permit tcp any any eq 80
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any

这段配置的意思是：允许所有人访问HTTP服务（端口80），但禁止使用Telnet（端口23），其余IP流量默认允许。这里的tcp和ip就是协议类型，决定了规则的应用范围。

现在很多家用路由器都支持自定义防火墙规则。比如你想让孩子晚上不能玩游戏，有些游戏服务器有固定协议或端口，你就可以设置ACL，在指定时间段屏蔽这些协议的数据进出，比单纯断网更精准。

再比如，你发现手机总在后台偷偷传数据，查了一下是某个应用用了UDP协议频繁连接外网。这时候就可以在路由器加一条规则，直接封掉这个协议对该应用的访问权限。

设置基于协议的ACL时要小心，别把关键服务误杀了。比如把DNS查询用的UDP协议全关了，整个网络都会打不开网页。建议先在测试环境试一遍，或者临时添加规则观察效果。

网络访问控制列表基于协议是什么？一文讲清楚