全部產品
Search
文件中心

Virtual Private Cloud:建立和管理網路ACL

更新時間:Nov 23, 2024

您可以在Virtual Private Cloud中建立網路ACL並添加入方向和出方向規則。建立網路ACL後,您可以將網路ACL與交換器綁定,實現對交換器中的網路執行個體流量的存取控制。

前提條件

注意事項

IPv4和IPv6自訂規則最多可分別配置20條規則,如需提升配額,請您前往配額中心申請。

建立網路ACL

您可以為VPC建立網路ACL並將其與交換器綁定,實現對交換器層級出入流量的存取控制。

  1. 登入專用網路管理主控台
  2. 在左側導覽列,選擇存取控制 > 網路ACL
  3. 在頂部功能表列處,選擇要建立網路ACL的地區。在網路ACL頁面,單擊建立網路ACL

  4. 建立網路ACL對話方塊,配置以下資訊,其他參數可保持預設值或根據實際情況修改。

    配置

    說明

    所屬專用網路

    選擇網路ACL所屬的專用網路。

    說明

    要關聯的專用網路的地區必須與網路ACL的地區相同。

添加網路ACL規則

建立網路ACL後,您可以為網路ACL添加入方向規則,管控公網或私網對交換器中ECS執行個體的訪問。您也可以為網路ACL添加出方向規則,管控交換器中的ECS執行個體對公網或私網的訪問。

重要

網路ACL的規則是無狀態的,即設定入方向規則的允許請求後,需要同時設定相應的出方向規則,否則可能會導致請求無法響應。

  1. 網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。
  2. 網路ACL基本資料地區,您可以設定入方向規則或出方向規則。

    • 設定入方向規則

      1. 單擊入方向規則頁簽,然後單擊管理入方向規則

      2. 根據以下資訊配置入方向規則,然後單擊確定

        配置

        說明

        優先順序

        入方向規則的生效順序。 數字越小,優先順序越高,最多可配置20條規則。

        類型

        當您建立IPv6類型的網路ACL規則後,入方向規則有以下類型:

        • 雲端服務:系統預設建立3條接受的雲端服務規則,優先順序固定最高且不能修改或刪除。

        • 自訂:系統預設建立2條全放通的自訂規則,您可以選擇刪除或修改這兩條自訂規則。

        • 系統:預設建立2條全拒絕的系統規則,優先順序固定最低且不能修改或刪除。

        當您建立僅支援IPv4類型的網路ACL規則後,系統預設建立一條IPv4類型的全放通自訂規則。

        說明

        您只能建立自訂的IPv4或IPv6入方向規則。

        策略

        選擇入方向規則的授權策略:

        • 允許:允許訪問交換器中ECS執行個體。

        • 拒絕:拒絕訪問交換器中ECS執行個體。

        協議類型

        選擇協議類型,支援以下類型:

        • ALL:所有協議。

        • ICMP:網路控制報文協議。

        • GRE:通用路由封裝協議。

        • TCP:傳輸控制通訊協定。

        • UDP:使用者資料包通訊協定。

        • ICMPv6:IPv6網路控制報文協議。僅支援選擇IPv6網段類型。

        IP版本

        選擇IP網段類型。取值:

        • IPv4

        • IPv6

        源地址

        設定資料流的源地址網段。 預設為0.0.0.0/0

        源連接埠範圍

        輸入入方向規則的源連接埠範圍。

        連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

        當選擇ALLICMPGRE協議類型時,連接埠範圍無法設定,為-1/-1;當選擇TCPUDP協議類型時,連接埠範圍為1~65535。設定格式為1/20080/80,且不能設定為-1/-1

      3. (可選)您可以在入方向規則頁簽底部單擊添加IPv4規則添加IPv6規則添加一條自訂的入方向IPv4或IPv6規則。

    • 設定出方向規則

      1. 單擊出方向規則頁簽,然後單擊管理出方向規則

      2. 根據以下資訊配置出方向規則,然後單擊確定

        配置

        說明

        優先順序

        出方向規則的生效順序。 數字越小,優先順序越高,最多可配置20條規則。

        類型

        當您建立IPv6類型的網路ACL規則後,出方向規則有以下類型:

        • 雲端服務:系統預設建立3條接受的雲端服務規則,優先順序固定最高且不能修改或刪除。

        • 自訂:系統預設建立2條全放通的自訂規則,您可以選擇刪除或修改這兩條自訂規則。

        • 系統:預設建立2條全拒絕的系統規則,優先順序固定最低且不能修改或刪除。

        當您建立僅支援IPv4類型的網路ACL規則後,系統預設建立一條IPv4類型的全放通自訂規則。

        說明

        您僅可以建立自訂的IPv4或IPv6出方向規則。

        策略

        選擇出方向規則的授權策略:

        • 允許:允許交換器中的ECS執行個體訪問公網或私網。

        • 拒絕:拒絕交換器中的ECS執行個體訪問公網或私網。

        協議類型

        選擇協議類型,支援以下類型:

        • ALL:所有協議。

        • ICMP:網路控制報文協議。

        • GRE:通用路由封裝協議。

        • TCP:傳輸控制通訊協定。

        • UDP:使用者資料包通訊協定。

        • ICMPv6:IPv6網路控制報文協議。僅支援選擇IPv6網段類型。

        IP版本

        選擇IP網段類型。取值:

        • IPv4

        • IPv6

        目的地址

        輸入資料流的目的地址網段。 預設為0.0.0.0/0

        目的連接埠範圍

        輸入出方向規則的目的連接埠範圍。

        連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

      3. (可選)您可以在出方向規則頁簽底部單擊添加IPv4規則添加IPv6規則添加一條自訂的出方向IPv4或IPv6規則。

快速添加多網段網路ACL規則

如果您需要對多個IP位址區段進行統一的網路存取控制,您可以使用快速添加多網段網路ACL功能,簡化業務配置並確保一致的安全性原則。

  1. 網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。
  2. 網路ACL基本資料地區,您可以快速添加多個網段的入方向規則或出方向規則。

    • 快速添加入方向規則

      1. 單擊入方向規則頁簽,然後單擊管理入方向規則

      2. 在頁簽底部單擊快速添加規則,在快速添加對話方塊中,根據以下資訊配置入方向規則,然後單擊確定

        配置

        說明

        策略

        選擇入方向規則的授權策略:

        • 允許:允許訪問交換器中ECS執行個體。

        • 拒絕:拒絕訪問交換器中ECS執行個體。

        IP地址

        輸入資料流的一個或多個源IPv4網段。

        源連接埠範圍

        選擇入方向規則的源連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明,請參見典型應用

        連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

        優先順序

        選擇生效順序,指定自訂規則插入的位置。關於優先順序的更多資訊,請參見網路ACL概述

        例如,如果插入生效順序為1的自訂規則後面,則需要輸入增加在第1條後

      3. 根據需要設定規則名稱、協議類型(預設建立TCP協議類型的規則)等資訊,然後單擊確定

    • 快速添加出方向規則

      1. 單擊出方向規則頁簽,然後單擊管理出方向規則

      2. 在頁簽底部單擊快速添加規則,在快速添加對話方塊中,根據以下資訊配置出方向規則,然後單擊確定

        配置

        說明

        策略

        選擇出方向規則的授權策略:

        • 允許:允許交換器中的ECS執行個體訪問公網或私網。

        • 拒絕:拒絕交換器中的ECS執行個體訪問公網或私網。

        IP地址

        輸入資料流的一個或多個目的IPv4網段。

        目的連接埠範圍

        選擇出方向規則的目的連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明,請參見典型應用

        連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

        優先順序

        選擇生效順序,指定自訂規則插入的位置。關於優先順序的更多資訊,請參見網路ACL概述

        例如,如果插入生效順序為1的自訂規則後面,則需要輸入增加在第1條後

      3. 根據需要設定規則名稱、協議類型(預設建立TCP協議類型的規則)等資訊,然後單擊確定

大量匯入/匯出網路ACL規則

您可以通過大量匯入/匯出網路ACL規則,保證資料的一致性,提升配置效率。

  • 快速配置網路ACL規則:您可以將網路ACL規則檔案匯入到已建立的網路ACL,實現網路ACL規則的快速應用。

  • 本地備份網路ACL規則:您可以大量匯出網路ACL規則,進行本地備份。

大量匯入網路ACL規則

說明
  • 當前僅支援根據下載模板(CSV檔案)匯入規則。

  • 模板中列出的所有配置項均需填寫,缺少配置項的規則無法匯入。

  • 如果網路ACL執行個體未開通IPv6功能,IP版本為IPv6的規則無法匯入。

  • 成功匯入的規則在原有規則的基礎上順序添加,不覆蓋原有規則。

  1. 網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。

  2. 單擊入方向規則/出方向規則頁簽,單擊匯入規則

  3. 下載模板,根據模板填寫需要匯入的網路ACL規則。

  4. 匯入規則對話方塊中,單擊或拖動檔案到虛線框內上傳。

大量匯出網路ACL規則

單擊匯出規則,將相應CSV檔案下載並儲存到本地。

更多操作

  1. 登入專用網路管理主控台
  2. 在左側導覽列,選擇存取控制 > 網路ACL
  3. 在頂部功能表列,選擇網路ACL的地區。
  4. 網路ACL頁面,您可以根據需要進行如下操作。

    配置

    說明

    調整規則順序

    網路ACL按照規則生效順序執行規則,生效順序的值越小,優先順序越高。您可以為規則排序來指定規則執行的先後順序。

    1. 找到目標網路ACL,單擊網路ACL的執行個體ID。

    2. 網路ACL基本資料頁面,您可以調整入方向規則或出方向規則的順序。

      • 調整入方向規則順序

        1. 單擊入方向規則頁簽,然後單擊管理入方向規則

        2. 上下拖動規則,然後單擊確定

      • 調整出方向規則順序

        1. 單擊出方向規則頁簽,然後單擊管理出方向規則

        2. 上下拖動規則,然後單擊確定

    綁定網路ACL至交換器

    將網路ACL綁定至交換器前,請確保滿足以下條件:

    • 您已經建立了網路ACL並添加了網路ACL規則。

    • 交換器所屬的VPC與要綁定的網路ACL所屬的VPC相同。

    1. 找到目標網路ACL,然後在操作列單擊關聯交換器

    2. 已綁定資源頁簽下,單擊關聯交換器

    3. 關聯交換器對話方塊,選擇需要綁定的交換器,然後單擊確定關聯

      網路ACL僅允許綁定所屬VPC內的交換器,且每個交換器僅允許綁定一個網路ACL。

    解除綁定網路ACL與交換器

    您可以解除網路ACL與交換器的綁定關係,解除後,網路ACL將不再管控交換器中的ECS執行個體的流量。

    1. 找到目標網路ACL,然後在操作列單擊關聯交換器

    2. 已綁定資源頁簽下,找到需要解除綁定網路ACL的交換器,在操作列單擊解除綁定

    3. 解除綁定網路ACL對話方塊中,單擊確定

    刪除網路ACL

    您可以刪除網路ACL,刪除前必須解除綁定網路ACL關聯的交換器。

    1. 找到目標網路ACL,然後在操作列單擊刪除

    2. 刪除網路ACL對話方塊中,單擊確定

相關文檔