1）为什么我们需要专门deny ip xxxxx xxxxxxx，而在每条ACL语句的末尾，都有一个默认的“deny any any”语句？

你“不需要”。
这样做的一些原因是它会在您键入“show access-list x”时为您提供命中计数，并且您可以添加日志记录命令（拒绝 ip 任何任何日志）。

2) 路由器和防火墙 ASA 中的 ACL 有什么区别？

最大的区别是路由器使用通配符掩码，而 ASA 使用普通掩码。

3) permit [IP] 是否涵盖 TCP/UDP？

是的，还有 ICMP、ESP、OSPF 等。

另外为 1)

deny条目允许更容易的结构。假设您希望允许单个用户/IP <src>SSH 访问另一个子网<dest>，同时拒绝所有其他 SSH：

permit tcp <src> <dest> eq 22
deny tcp any <dest> eq 22
...

如果没有deny您将不得不allow围绕源 IP 构建尴尬的条目。

防火墙进行状态检查