注:只有tcp报文中的ACK/RST被置位才允许通过
兼容标准ACL和扩展ACL
通过使设备免遭无用流量及恶意流量的影响来提高网络安全性
有很多匹配协议、端口、标记等的permit语句组成
发往目标为網络设备、DMZ区、其他设备
有时可以通过any关键字来匹配流量最后一行用ip any any来放行其他流量是检查DOS攻击的一种方法
解决了传统ACL按顺序检查造成嘚转发延迟增大、网络性能下降
处理第一条匹配需求的时,会同时把ACL编译进一组查询表中
通过检查数据包头来匹配查询表
不支持自反ACL和时間ACL
通过精确匹配去往设备流量来降低设备面临的风险
——RFC3330——可能需要过滤的特殊地址应用
——RFC2827——防欺骗部署原则