網路ACL(Network Access Control List)是Virtual Private Cloud中的網路存取控制功能。您可以自訂設定網路ACL規則,並將網路ACL與交換器綁定,實現對交換器中Elastic Compute Service執行個體流量的存取控制。
功能發布及地區支援情況
IPv4網路ACL支援的地區
地區 | 支援IPv4網路ACL的地區 |
亞太地區 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地區)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地區)、華東6(福州-本地地區)、日本(東京)、韓國(首爾)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀) |
歐美地區 | 德國(法蘭克福)、英國(倫敦)、美國(矽谷)、美國(維吉尼亞) |
中東 | 阿聯酋(杜拜)、沙特(利雅得) 重要 沙特(利雅得)地區由夥伴營運。 |
IPv6網路ACL支援的地區
地區 | 支援IPv6網路ACL的地區 |
亞太地區 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南3(廣州)、西南1(成都)、中國香港、日本(東京)、韓國(首爾)、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀) |
歐美地區 | 德國(法蘭克福)、美國(矽谷)、美國(維吉尼亞) |
中東 | 阿聯酋(杜拜)、沙特(利雅得) 重要 沙特(利雅得)地區由夥伴營運。 |
功能特性
網路ACL規則僅過濾綁定的交換器中ECS執行個體的流量(包括SLB執行個體轉寄給ECS執行個體的流量)。
說明如果您的ECS執行個體綁定了輔助彈性網卡,且輔助彈性網卡綁定了設定網卡可見度模式的EIP,那麼網路ACL不過濾該ECS執行個體的流量。更多資訊,請參見設定EIP網卡可見度模式。
網路ACL的規則是無狀態的,即設定入方向規則的允許請求後,需要同時設定相應的出方向規則,否則可能會導致請求無法響應。
網路ACL無任何規則時,會拒絕所有出入方向的訪問。
網路ACL與交換器綁定,不過濾同一交換器內的ECS執行個體間的流量。
網路ACL放通的DNS伺服器為100.100.2.128/28、100.100.2.112/28;放通的Metaserver(中繼資料服務器)為100.100.100.200/32。
規則說明
規則元素說明
網路ACL中的元素說明如下:
生效順序:值越小,規則的優先順序越高。系統從生效順序為1的規則開始判斷,只要有一條規則與流量匹配,即應用該規則,並忽略其他規則。
例如,ECS執行個體請求訪問目的地址為172.16.0.1的資料包,在經過如下表所示的ACL規則配置後,172.16.0.1匹配生效順序2和生效順序3規則中的目的地址,由於生效順序2的優先順序高於生效順序3,所以會根據生效順序2規則拒絕該請求。
生效順序
協議類型
目的地址
目的連接埠範圍
策略
類型
1
ALL
10.0.0.0/8
-1/-1
允許
自訂
2
ALL
172.16.0.0/12
-1/-1
拒絕
自訂
3
ALL
172.16.0.0/12
-1/-1
允許
自訂
策略:針對特定流量選擇允許或拒絕。
協議類型:指定資料流的協議類型,可選擇以下協議。
ALL:所有協議。當選擇所有協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。
ICMP:網路控制報文協議。當選擇該協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。
GRE:通用路由封裝協議。當選擇該協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。
TCP:傳輸控制通訊協定。當選擇該協議類型時,連接埠範圍為1~65535。設定格式為1/200或80/80,且不能設定為-1/-1。
UDP:使用者資料包通訊協定。連接埠範圍為1~65535。設定格式為1/200或80/80,且不能設定為-1/-1。
ICMPv6:IPv6網路控制報文協議。當選擇所有協議類型時,連接埠範圍無法設定,為-1/-1,表示不限制連接埠。
源地址(限入方向規則):資料流的源地址。
目的地址(限出方向規則):資料流的目的地址。
目的連接埠範圍(限入方向規則):入方向規則作用的連接埠範圍。
目的連接埠範圍(限出方向規則):出方向規則作用的連接埠範圍。
出方向和入方向規則
添加出方向規則和入方向規則前,您需要瞭解:
在網路ACL中添加或刪除規則,更改規則後會自動應用到與其綁定的交換器。
在網路ACL中添加IPv6類型的出方向規則和入方向規則時,您需要為網路ACL所在的VPC分配IPv6網段。
當您配置了DHCP選項集時,您需要在網路ACL的出入方向規則中添加允許存取DNS網域名稱伺服器配置的IP地址。當未添加規則時,可能會造成DHCP選項集的業務異常。
預設建立的出方向和入方向規則會根據選擇的地區有所不同。
選擇的地區不支援IPv6網路ACL時,入方向和出方向預設建立1條規則。
除以上地區外的其他地區:
如果ACL所屬的VPC未啟用IPv6能力,出入方向會預設建立5條規則,其中雲端服務路由是網路ACL放通的DNS伺服器和Metaserver(中繼資料服務器)的地址。
如果ACL所屬的VPC開啟IPv6能力,則入方向和出方向各添加一條系統預設拒絕和一條自訂全放通規則,因此會預設建立7條規則。
網路ACL與安全性群組
與交換器綁定的網路ACL規則控制流程入和流出交換器的資料流,與ECS執行個體相關的安全性群組規則控制流程入和流出ECS執行個體的資料流。網路ACL和安全性群組的基本差異如下表所示。
對比項 | 網路ACL | 安全性群組 |
運行範圍 | 在交換器層級運行。 | 在ECS執行個體層級運行。 |
返回資料流狀態 | 無狀態:返回資料流必須被規則明確允許。 | 有狀態:返回資料流會被自動允許,不受任何規則的影響。 |
是否評估規則 | 不評估所有規則,按照規則的生效順序處理所有規則。 | 執行規則前,會評估所有規則。 |
與ECS執行個體的關聯關係 | ECS執行個體所屬的交換器僅允許綁定一個網路ACL。 | 一個ECS執行個體可加入多個安全性群組。 |
網路ACL和安全性群組提供的安全層如下圖所示。
使用限制
配額名稱 | 描述 | 預設限制 | 提升配額 |
vpc_quota_nacl_ingress_entry | 單個網路ACL支援建立的入方向規則數量 | 20條 | |
vpc_quota_nacl_egress_entry | 單個網路ACL支援建立的出方向規則數量 | 20條 | |
nacl_quota_vpc_create_count | 單個VPC支援建立的網路ACL數量 | 20個 |
使用流程
具體操作,請參見建立和管理網路ACL。