訪問控制列表由訪問控制條目(ACE)組成。訪問控制表描述了用戶或系統進程對每個對象的訪問控制權限。訪問控制列表的主要缺點是它不能有效快速地枚舉對象的訪問權限。因此,要確定壹個對象的所有訪問權限,需要搜索整個訪問控制表,找出對應的訪問權限。
訪問控制列表有許多功能:
1,比如限制網絡流量,提高網絡性能;
2.對通信流量的控制,例如ACL可以限制或簡化路由更新信息的長度,從而限制通過路由器某個網段的通信流量;
3.提供網絡安全接入的基本手段;
4.決定在路由器端口轉發或阻止哪種流量。例如,用戶可以允許路由電子郵件流量,拒絕所有Telnet流量。
5.訪問控制列表在概念上並不復雜,但它的配置和使用很復雜。很多初學者在使用訪問控制列表時經常出錯。
與RBAC相比
ACL模型的主要替代方案是基於角色的訪問控制(RBAC)模型。最小RBAC模型?RBACm可以與ACL機制ACLg進行比較,後者只允許組作為ACL中的條目。巴克利(1997)?說明RBACm和ACLg是等價的。
在現代SQL實現中,ACL還管理組和組層次結構中的繼承。因此,“現代ACL”可以表達RBAC所表達的所有內容,並且在根據管理員查看組織的方式表達訪問控制策略方面非常強大(與“舊ACL”相比)。