Virtual Private Cloud：建立和管理網路ACL

前提條件

• 您已經建立了Virtual Private Cloud和交換器。具體操作，請參見建立和管理專用網路和建立和管理交換器。

• 當您建立IPv6類型的網路ACL規則時，您需要為VPC開通IPv6網段。

  • 關於如何為VPC開通IPv6網段，請參見VPC開通IPv6。

  • IPv6類型的網路ACL支援的地區，請參見IPv6網路ACL支援的地區。

注意事項

IPv4和IPv6自訂規則最多可分別配置20條規則，如需提升配額，請您前往配額中心申請。

建立網路ACL

您可以為VPC建立網路ACL並將其與交換器綁定，實現對交換器層級出入流量的存取控制。

1. 登入專用網路管理主控台。
2. 在左側導覽列，選擇存取控制 > 網路ACL。

3. 在頂部功能表列處，選擇要建立網路ACL的地區。在網路ACL頁面，單擊建立網路ACL。

4. 在建立網路ACL對話方塊，配置以下資訊，其他參數可保持預設值或根據實際情況修改。

   配置	說明
   所屬專用網路	選擇網路ACL所屬的專用網路。 說明 要關聯的專用網路的地區必須與網路ACL的地區相同。

添加網路ACL規則

建立網路ACL後，您可以為網路ACL添加入方向規則，管控公網或私網對交換器中ECS執行個體的訪問。您也可以為網路ACL添加出方向規則，管控交換器中的ECS執行個體對公網或私網的訪問。

1. 在網路ACL頁面，找到目標網路ACL，單擊網路ACL的ID。

2. 在網路ACL基本資料地區，您可以設定入方向規則或出方向規則。

   • 設定入方向規則

     1. 單擊入方向規則頁簽，然後單擊管理入方向規則。

     2. 根據以下資訊配置入方向規則，然後單擊確定。

        配置	說明
        優先順序	入方向規則的生效順序。 數字越小，優先順序越高，最多可配置20條規則。
        類型	當您建立IPv6類型的網路ACL規則後，入方向規則有以下類型： 雲端服務：系統預設建立3條接受的雲端服務規則，優先順序固定最高且不能修改或刪除。 自訂：系統預設建立2條全放通的自訂規則，您可以選擇刪除或修改這兩條自訂規則。 系統：預設建立2條全拒絕的系統規則，優先順序固定最低且不能修改或刪除。 當您建立僅支援IPv4類型的網路ACL規則後，系統預設建立一條IPv4類型的全放通自訂規則。 說明 您只能建立自訂的IPv4或IPv6入方向規則。
        策略	選擇入方向規則的授權策略： 允許：允許訪問交換器中ECS執行個體。 拒絕：拒絕訪問交換器中ECS執行個體。
        協議類型	選擇協議類型，支援以下類型： ALL：所有協議。 ICMP：網路控制報文協議。 GRE：通用路由封裝協議。 TCP：傳輸控制通訊協定。 UDP：使用者資料包通訊協定。 ICMPv6：IPv6網路控制報文協議。僅支援選擇IPv6網段類型。
        IP版本	選擇IP網段類型。取值： IPv4。 IPv6。
        源地址	設定資料流的源地址網段。 預設為0.0.0.0/0。
        源連接埠範圍	輸入入方向規則的源連接埠範圍。 連接埠範圍為1~65535。使用正斜線（/）隔開開始端點口和終止連接埠，格式為1/200、80/80，其中-1/-1不能單獨設定，代表不限制連接埠。 當選擇ALL、ICMP、GRE協議類型時，連接埠範圍無法設定，為-1/-1；當選擇TCP、UDP協議類型時，連接埠範圍為1~65535。設定格式為1/200或80/80，且不能設定為-1/-1。

     3. （可選）您可以在入方向規則頁簽底部單擊添加IPv4規則或添加IPv6規則添加一條自訂的入方向IPv4或IPv6規則。

   • 設定出方向規則

     1. 單擊出方向規則頁簽，然後單擊管理出方向規則。

     2. 根據以下資訊配置出方向規則，然後單擊確定。

        配置	說明
        優先順序	出方向規則的生效順序。 數字越小，優先順序越高，最多可配置20條規則。
        類型	當您建立IPv6類型的網路ACL規則後，出方向規則有以下類型： 雲端服務：系統預設建立3條接受的雲端服務規則，優先順序固定最高且不能修改或刪除。 自訂：系統預設建立2條全放通的自訂規則，您可以選擇刪除或修改這兩條自訂規則。 系統：預設建立2條全拒絕的系統規則，優先順序固定最低且不能修改或刪除。 當您建立僅支援IPv4類型的網路ACL規則後，系統預設建立一條IPv4類型的全放通自訂規則。 說明 您僅可以建立自訂的IPv4或IPv6出方向規則。
        策略	選擇出方向規則的授權策略： 允許：允許交換器中的ECS執行個體訪問公網或私網。 拒絕：拒絕交換器中的ECS執行個體訪問公網或私網。
        協議類型	選擇協議類型，支援以下類型： ALL：所有協議。 ICMP：網路控制報文協議。 GRE：通用路由封裝協議。 TCP：傳輸控制通訊協定。 UDP：使用者資料包通訊協定。 ICMPv6：IPv6網路控制報文協議。僅支援選擇IPv6網段類型。
        IP版本	選擇IP網段類型。取值： IPv4。 IPv6。
        目的地址	輸入資料流的目的地址網段。 預設為0.0.0.0/0。
        目的連接埠範圍	輸入出方向規則的目的連接埠範圍。 連接埠範圍為1~65535。使用正斜線（/）隔開開始端點口和終止連接埠，格式為1/200、80/80，其中-1/-1不能單獨設定，代表不限制連接埠。

     3. （可選）您可以在出方向規則頁簽底部單擊添加IPv4規則或添加IPv6規則添加一條自訂的出方向IPv4或IPv6規則。

快速添加多網段網路ACL規則

如果您需要對多個IP位址區段進行統一的網路存取控制，您可以使用快速添加多網段網路ACL功能，簡化業務配置並確保一致的安全性原則。

1. 在網路ACL頁面，找到目標網路ACL，單擊網路ACL的ID。

2. 在網路ACL基本資料地區，您可以快速添加多個網段的入方向規則或出方向規則。

   • 快速添加入方向規則

     1. 單擊入方向規則頁簽，然後單擊管理入方向規則。

     2. 在頁簽底部單擊快速添加規則，在快速添加對話方塊中，根據以下資訊配置入方向規則，然後單擊確定。

        配置	說明
        策略	選擇入方向規則的授權策略： 允許：允許訪問交換器中ECS執行個體。 拒絕：拒絕訪問交換器中ECS執行個體。
        IP地址	輸入資料流的一個或多個源IPv4網段。
        源連接埠範圍	選擇入方向規則的源連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明，請參見典型應用。 連接埠範圍為1~65535。使用正斜線（/）隔開開始端點口和終止連接埠，格式為1/200、80/80，其中-1/-1不能單獨設定，代表不限制連接埠。
        優先順序	選擇生效順序，指定自訂規則插入的位置。關於優先順序的更多資訊，請參見網路ACL概述。 例如，如果插入生效順序為1的自訂規則後面，則需要輸入增加在第1條後。

     3. 根據需要設定規則名稱、協議類型（預設建立TCP協議類型的規則）等資訊，然後單擊確定。

   • 快速添加出方向規則

     1. 單擊出方向規則頁簽，然後單擊管理出方向規則。

     2. 在頁簽底部單擊快速添加規則，在快速添加對話方塊中，根據以下資訊配置出方向規則，然後單擊確定。

        配置	說明
        策略	選擇出方向規則的授權策略： 允許：允許交換器中的ECS執行個體訪問公網或私網。 拒絕：拒絕交換器中的ECS執行個體訪問公網或私網。
        IP地址	輸入資料流的一個或多個目的IPv4網段。
        目的連接埠範圍	選擇出方向規則的目的連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明，請參見典型應用。 連接埠範圍為1~65535。使用正斜線（/）隔開開始端點口和終止連接埠，格式為1/200、80/80，其中-1/-1不能單獨設定，代表不限制連接埠。
        優先順序	選擇生效順序，指定自訂規則插入的位置。關於優先順序的更多資訊，請參見網路ACL概述。 例如，如果插入生效順序為1的自訂規則後面，則需要輸入增加在第1條後。

     3. 根據需要設定規則名稱、協議類型（預設建立TCP協議類型的規則）等資訊，然後單擊確定。

大量匯入/匯出網路ACL規則

您可以通過大量匯入/匯出網路ACL規則，保證資料的一致性，提升配置效率。

• 快速配置網路ACL規則：您可以將網路ACL規則檔案匯入到已建立的網路ACL，實現網路ACL規則的快速應用。

• 本地備份網路ACL規則：您可以大量匯出網路ACL規則，進行本地備份。

大量匯入網路ACL規則

1. 在網路ACL頁面，找到目標網路ACL，單擊網路ACL的ID。

2. 單擊入方向規則/出方向規則頁簽，單擊匯入規則。

3. 下載模板，根據模板填寫需要匯入的網路ACL規則。

4. 在匯入規則對話方塊中，單擊或拖動檔案到虛線框內上傳。

大量匯出網路ACL規則

單擊匯出規則，將相應CSV檔案下載並儲存到本地。

更多操作

1. 登入專用網路管理主控台。
2. 在左側導覽列，選擇存取控制 > 網路ACL。
3. 在頂部功能表列，選擇網路ACL的地區。

4. 在網路ACL頁面，您可以根據需要進行如下操作。

   配置	說明
   調整規則順序	網路ACL按照規則生效順序執行規則，生效順序的值越小，優先順序越高。您可以為規則排序來指定規則執行的先後順序。 找到目標網路ACL，單擊網路ACL的執行個體ID。 在網路ACL基本資料頁面，您可以調整入方向規則或出方向規則的順序。 調整入方向規則順序 單擊入方向規則頁簽，然後單擊管理入方向規則。 上下拖動規則，然後單擊確定。 調整出方向規則順序 單擊出方向規則頁簽，然後單擊管理出方向規則。 上下拖動規則，然後單擊確定。
   綁定網路ACL至交換器	將網路ACL綁定至交換器前，請確保滿足以下條件： 您已經建立了網路ACL並添加了網路ACL規則。 交換器所屬的VPC與要綁定的網路ACL所屬的VPC相同。 找到目標網路ACL，然後在操作列單擊關聯交換器。 在已綁定資源頁簽下，單擊關聯交換器。 在關聯交換器對話方塊，選擇需要綁定的交換器，然後單擊確定關聯。 網路ACL僅允許綁定所屬VPC內的交換器，且每個交換器僅允許綁定一個網路ACL。
   解除綁定網路ACL與交換器	您可以解除網路ACL與交換器的綁定關係，解除後，網路ACL將不再管控交換器中的ECS執行個體的流量。 找到目標網路ACL，然後在操作列單擊關聯交換器。 在已綁定資源頁簽下，找到需要解除綁定網路ACL的交換器，在操作列單擊解除綁定。 在解除綁定網路ACL對話方塊中，單擊確定。
   刪除網路ACL	您可以刪除網路ACL，刪除前必須解除綁定網路ACL關聯的交換器。 找到目標網路ACL，然後在操作列單擊刪除。 在刪除網路ACL對話方塊中，單擊確定。

相關文檔

• CreateNetworkAcl：建立網路ACL。

• 更新網路ACL規則：更新網路ACL規則。

• AssociateNetworkAcl：綁定網路ACL至交換器。

• UnassociateNetworkAcl：解除網路ACL與交換器的綁定。

• DeleteNetworkAcl：刪除網路ACL。