アクセスコントロールリスト（ACL）とは...

→アクセスをコントロールするリスト。ネットワーク管理者が定義したものであり、許可されている通信は通過して、許可されていない通信は通りません。

例を挙げるとActive Directoryが近いものかと思います。Active Directoryはユーザーにアクセス権限を付与することで、特定のアプリケーションにアクセスしたり、不要なユーザーから権限を外すことでアクセスできなくしたりすることができます。

ACLは同様に特定のIPアドレスの通信を許可・拒否を指定することができます。

ACLには標準ACLと拡張ACLがあります。

・標準ACL

送信元のIPアドレスを指定します。192.168.0.1といったIPアドレスの指定から、192.168.0.0/28といったネットワーク内に所属しているIPアドレスを指定することができます。

・拡張ACL

送信元IPアドレスだけでなく、宛先IPアドレス、プロトコル番号、送信元ポート番号、送信先ポート番号まで事細かに指定することができます。例えば、「送信元192.168.0.0/28のネットワークから宛先10.1.1.1へのHTTPを使った通信を許可する」といった細かい指定を、拡張ACLでは可能とします。

このACLは適用する場合、インバウンド方向とアウトバウント方向のどちらかを指定する必要があります。この指定する方向によって動作が変わります。

インバウンド（通信が入ってくる方向）の場合

通信が着信した段階でACLを参照して、許可された通信をそのままルーティングする

アウトバウンド（通信が出ていく方向）の場合

インターフェースから発信する際にACLを参照し、適用されればそのままルーティングテーブルに従って次のインターフェースに転送する

例えば、経理部のネットワークに誰かがアクセスしたいとします。しかしながら、経理部には機密情報が多く特定の場合を除いて公開したくない上に、改ざんされると大変です。そのため、経理部ネットワークを管理しているルーターのインバウンド側に「全てのIPアドレスからの通信を許可しない」というACLを適用させます。そうすることで、ルーターに着信しても、ACLで他の通信を拒否するため、ネットワークに負担をかけることなくアクセス制限をかけることができます。

最後ですが、ACLの最終行には「暗黙のdeny any」というルールが指定されます。このルールは指定した以外の通信は全て拒否するものです。そのため、ACLの指定忘れがあると、通信を拒否されてしまいます。そのため、ACLを指定する際は指定忘れがないようにしないといけません。注意しましょう。

参考URL

ACL - アクセスコントロールリストとは (infraexpert.com)