ACLの作成から適用までの流れ

ACLは標準ACLと拡張ACLの二つに分類でき、アクセス制御(許可または拒否)できる対象が異なります。

送信元IPアドレスを対象にアクセス制御できるACLです。

一方、拡張ACLは送信元IPアドレスだけでなく、宛先IPアドレスやプロトコル、(宛先または送信元)ポート番号などを
組み合わせてアクセス制御できるACLです。

標準ACLは、送信元IPアドレスを対象にアクセス制御ができるACLです。
さらに、番号付き標準ACLと名前付き標準ACLに分類できます。

この分類を理解するためには、アクセスコントロールリストの作成方法を理解する必要があります。
まず標準ACLをコマンドで作成する際、1つのリストをまとめて作成するわけではありません。

リストを指定した上で1行ずつリストに含めるパケットフィルタリング(アクセス制御の内容)を作成することで、
リストの中身が形成されていきます。

このパケットフィルタリングの作成と同時に行う、アクセスコントロールリストの指定方法によって、
標準ACLと名前付き標準ACLに分類できます。

番号によってリストが識別されるタイプの標準ACLです。番号には1～99または1300～1999が割り振られます。

番号で識別するのは管理が煩雑です。
そこで名前付き標準ACLは番号の代わりに任意で指定した「名前(文字列)」で識別できるタイプの標準ACLです。

送信元IPアドレスだけでなく、宛先IPアドレスやプロトコル、(宛先または送信元)ポート番号などを組み合わせて
アクセス制御できるACLです。

標準ACLと同様に、番号付き拡張ACLと名前付き拡張ACLに分類できます。

番号によってリストが識別されるタイプの拡張ACLです。番号には100～199、2000～2699が割り振られます。

「名前(文字列)」で識別できるタイプの拡張ACLです。

宛先IPアドレス
送信元IPアドレス
プロトコル名(ip、icmp、tcp、udp)
(宛先または送信元)ポート番号
※またポート番号の指定は、「指定の番号に一致するポート番号か」、「指定の番号より小さい(大きい)ポート番号か」、「指定の範囲に含まれるポート番号か」など柔軟に指定できます。

ポート番号はftp(ファイル転送の通信)やhttp(ブラウザからWEBサイトの閲覧)などのプロトコルと紐づいています。
そのため、ポート番号を指定することで特定のプロトコル(通信方式)からの通信を制御できます。