全部產品
Search
文件中心

Virtual Private Cloud:網路ACL概述

更新時間:Nov 23, 2024

網路ACL(Network Access Control List)是Virtual Private Cloud中的網路存取控制功能。您可以自訂設定網路ACL規則,並將網路ACL與交換器綁定,實現對交換器中Elastic Compute Service執行個體流量的存取控制。

功能特性

  • 網路ACL規則僅過濾綁定的交換器中ECS執行個體的流量(包括SLB執行個體轉寄給ECS執行個體的流量)。

    說明

    如果您的ECS執行個體綁定了輔助彈性網卡,且輔助彈性網卡綁定了設定網卡可見度模式的EIP,那麼網路ACL不過濾該ECS執行個體的流量。更多資訊,請參見設定EIP網卡可見度模式

  • 網路ACL的規則是無狀態的,即設定入方向規則的允許請求後,需要同時設定相應的出方向規則,否則可能會導致請求無法響應。

  • 網路ACL無任何規則時,會拒絕所有出入方向的訪問。

  • 網路ACL與交換器綁定,不過濾同一交換器內的ECS執行個體間的流量。

  • 網路ACL放通的DNS伺服器為100.100.2.128/28、100.100.2.112/28;放通的Metaserver(中繼資料服務器)為100.100.100.200/32。

規則說明

規則元素說明

網路ACL中的元素說明如下:

  • 生效順序:值越小,規則的優先順序越高。系統從生效順序為1的規則開始判斷,只要有一條規則與流量匹配,即應用該規則,並忽略其他規則。

    例如,ECS執行個體請求訪問目的地址為172.16.0.1的資料包,在經過如下表所示的ACL規則配置後,172.16.0.1匹配生效順序2和生效順序3規則中的目的地址,由於生效順序2的優先順序高於生效順序3,所以會根據生效順序2規則拒絕該請求。

    生效順序

    協議類型

    目的地址

    目的連接埠範圍

    策略

    類型

    1

    ALL

    10.0.0.0/8

    -1/-1

    允許

    自訂

    2

    ALL

    172.16.0.0/12

    -1/-1

    拒絕

    自訂

    3

    ALL

    172.16.0.0/12

    -1/-1

    允許

    自訂

  • 策略:針對特定流量選擇允許或拒絕。

  • 協議類型:指定資料流的協議類型,可選擇以下協議。

    • ALL:所有協議。當選擇所有協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。

    • ICMP:網路控制報文協議。當選擇該協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。

    • GRE:通用路由封裝協議。當選擇該協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。

    • TCP:傳輸控制通訊協定。當選擇該協議類型時,連接埠範圍為1~65535。設定格式為1/20080/80,且不能設定為-1/-1

    • UDP:使用者資料包通訊協定。連接埠範圍為1~65535。設定格式為1/20080/80,且不能設定為-1/-1

    • ICMPv6:IPv6網路控制報文協議。當選擇所有協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。

  • 源地址(限入方向規則):資料流的源地址。

  • 目的地址(限出方向規則):資料流的目的地址。

  • 源連接埠範圍(限入方向規則):入方向規則作用的連接埠範圍。

  • 目的連接埠範圍(限出方向規則):出方向規則作用的連接埠範圍。

出方向和入方向規則

添加出方向規則和入方向規則前,您需要瞭解:

  • 在網路ACL中添加或刪除規則,更改規則後會自動應用到與其綁定的交換器。

  • 在網路ACL中添加IPv6類型的出方向規則和入方向規則時,您需要為網路ACL所在的VPC分配IPv6網段。

  • 當您配置了DHCP選項集時,您需要在網路ACL的出入方向規則中添加允許存取DNS網域名稱伺服器配置的IP地址。當未添加規則時,可能會造成DHCP選項集的業務異常。

預設建立的出方向和入方向規則會根據選擇的地區有所不同。

  • 選擇的地區不支援IPv6網路ACL時,入方向和出方向預設建立1條規則。

    單擊查看出方向和入方向規則

    • 入方向規則

      生效順序

      協議類型

      源地址

      源連接埠範圍

      策略

      類型

      1

      ALL

      0.0.0.0/0

      -1/-1

      允許

      自訂

    • 出方向規則

      生效順序

      協議類型

      目的地址

      目的連接埠範圍

      策略

      類型

      1

      ALL

      0.0.0.0/0

      -1/-1

      允許

      自訂

  • 除以上地區外的其他地區:

    • 如果ACL所屬的VPC未啟用IPv6能力,出入方向會預設建立5條規則,其中雲端服務路由是網路ACL放通的DNS伺服器和Metaserver(中繼資料服務器)的地址。

      單擊查看出方向和入方向規則

      • 入方向規則

        生效順序

        協議類型

        源地址

        源連接埠範圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        雲端服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自訂

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

      • 出方向規則

        生效順序

        協議類型

        目的地址

        目的連接埠範圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        雲端服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自訂

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

    • 如果ACL所屬的VPC開啟IPv6能力,則入方向和出方向各添加一條系統預設拒絕和一條自訂全放通規則,因此會預設建立7條規則。

      單擊查看出方向和入方向規則

      • 入方向規則

        生效順序

        協議類型

        源地址

        源連接埠範圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        雲端服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自訂

        2

        ALL

        ::/0

        -1/-1

        允許

        自訂

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

        *

        ALL

        ::/0

        0:65535

        拒絕

        系統

      • 出方向規則

        生效順序

        協議類型

        目的地址

        目的連接埠範圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        雲端服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        雲端服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自訂

        2

        ALL

        ::/0

        -1/-1

        允許

        自訂

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

        *

        ALL

        ::/0

        0:65535

        拒絕

        系統

網路ACL與安全性群組

與交換器綁定的網路ACL規則控制流程入和流出交換器的資料流,與ECS執行個體相關的安全性群組規則控制流程入和流出ECS執行個體的資料流。網路ACL和安全性群組的基本差異如下表所示。

對比項

網路ACL

安全性群組

運行範圍

在交換器層級運行。

在ECS執行個體層級運行。

返回資料流狀態

無狀態:返回資料流必須被規則明確允許。

有狀態:返回資料流會被自動允許,不受任何規則的影響。

是否評估規則

不評估所有規則,按照規則的生效順序處理所有規則。

執行規則前,會評估所有規則。

與ECS執行個體的關聯關係

ECS執行個體所屬的交換器僅允許綁定一個網路ACL。

一個ECS執行個體可加入多個安全性群組。

網路ACL和安全性群組提供的安全層如下圖所示。

使用限制和配額

功能發布及地區支援情況

IPv4網路ACL支援的地區

地區

支援IPv4網路ACL的地區

亞太地區

華東1(杭州)華東2(上海)華東5 (南京-本地地區)華北1(青島)華北2(北京)華北3(張家口)華北5(呼和浩特)華北6(烏蘭察布)華南1(深圳)華南2(河源)華南3(廣州)西南1(成都)中國香港華中1(武漢-本地地區)華東6(福州-本地地區)日本(東京)韓國(首爾)新加坡馬來西亞(吉隆坡)印尼(雅加達)菲律賓(馬尼拉)泰國(曼穀)

歐美地區

德國(法蘭克福)英國(倫敦)美國(矽谷)美國(維吉尼亞)

中東

阿聯酋(杜拜)沙特(利雅得)

重要

沙特(利雅得)地區由夥伴營運。

IPv6網路ACL支援的地區

地區

支援IPv6網路ACL的地區

亞太地區

華東1(杭州)華東2(上海)華北1(青島)華北2(北京)華北5(呼和浩特)華北6(烏蘭察布)華南1(深圳)華南3(廣州)西南1(成都)中國香港日本(東京)韓國(首爾)馬來西亞(吉隆坡)印尼(雅加達)菲律賓(馬尼拉)泰國(曼穀)

歐美地區

德國(法蘭克福)美國(矽谷)美國(維吉尼亞)

中東

阿聯酋(杜拜)沙特(利雅得)

重要

沙特(利雅得)地區由夥伴營運。

配額限制

配額名稱

描述

預設限制

提升配額

vpc_quota_nacl_ingress_entry

單個網路ACL支援建立的入方向規則數量

20條

您可以通過以下任意方式自助提升配額:

vpc_quota_nacl_egress_entry

單個網路ACL支援建立的出方向規則數量

20條

nacl_quota_vpc_create_count

單個VPC支援建立的網路ACL數量

20個

相關文檔