ASA-ACL类型

安全设备支持下面5种不同类型的ACl：

• 标准ACL
• 扩展ACL（可匹配v4&v6流量）
• EtherType ACL （以太网类型ACL）
• WebType ACL（Web类型ACL）

1、标准ACL

标准ACL可以基于目的IP地址识别数据包，这种ACL不能应用到接口上来进行流量过滤，只有当安全设备工作在路由模式（routed mode）下时，才可以使用标准ACL。

2、扩展ACL

扩展ACL是最常用的一种ACL，它可基于以下属性对数据包分类：

• 源和目的IP
• 第3层协议
• 源和目的端口（TCP，UDP）
• ICMP数据包的目的ICMP类型
• 用户身份属性，如AD用户名和组成员

扩展ACL可以应用到接口，来实现数据包过滤，QoS数据包分类，对NAT和VPN加密数据包进行识别，以及其他很多功能。

运行在路由和透明模式下的安全设备都可以建立这种类型的ACL。

Note：从9.0（1）版本开始，扩展ACL以及可以同时过滤v4和v6流量。

3、EtherType ACL

EtherType ACL 可以通过查看2层头部的以太网类型编码字段来过滤IP和非IP的流量。例如：基于IP的流量以太网类型编码是0x800.

如果设备运行在透明模式下，就可以使用ethertype acl，和其他的ACL一样，该ACL最后也会有一条隐式拒绝条目，不过，这个隐式拒绝条目不会对穿越设备的IP流量造成影响。所以，管理员可以同时在同一接口的同一个方向应用ethertype ACL 和扩展ACL。

Note：如果在ethertype ACL最后配置了一条显式拒绝条目，即使扩展ACL被设置为放行IP数据包，这些数据包仍然会被Ethertype ACL丢弃。

4、WebType ACL

该ACL可以对穿过SSL VPN隧道进入网络的流量进行限制。如果在某个地方定义了WebType ACL，但是数据包不匹配该ACL，那么由于存在隐式拒绝条目，设备会在默认情况下丢弃数据包。但是如果没有定义任何ACL，那么安全设备就会允许流量通过。

5、ACL特性比较