全部產品
Search

搜尋本產品

    Virtual Private Cloud:建立和管理網路ACL

    文件中心

    Virtual Private Cloud:建立和管理網路ACL

    更新時間:Oct 25, 2024

    您可以在Virtual Private Cloud中建立網路ACL並添加入方向和出方向規則。建立網路ACL後,您可以將網路ACL與交換器綁定,實現對交換器中的網路執行個體流量的存取控制。

    前提條件

    注意事項

    IPv4和IPv6自訂規則最多可分別配置20條規則,如需提升配額,請您前往配額中心申請。

    建立網路ACL

    1. 登入專用網路管理主控台
    2. 在左側導覽列,選擇存取控制 > 網路ACL

    3. 在頂部功能表列處,選擇要建立網路ACL的地區。在網路ACL頁面,單擊建立網路ACL

    4. 建立網路ACL對話方塊,配置以下資訊,其他參數可保持預設值或根據實際情況修改。

      配置

      說明

      所屬專用網路

      選擇網路ACL所屬的專用網路。

      說明

      要關聯的專用網路的地區必須與網路ACL的地區相同。

    添加網路ACL規則

    建立網路ACL後,您可以為網路ACL添加入方向規則,管控公網或私網對交換器中ECS執行個體的訪問。您也可以為網路ACL添加出方向規則,管控交換器中的ECS執行個體對公網或私網的訪問。

    重要

    網路ACL的規則是無狀態的,即設定入方向規則的允許請求後,需要同時設定相應的出方向規則,否則可能會導致請求無法響應。

    1. 網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。

    2. 網路ACL基本資料地區,您可以設定入方向規則或出方向規則。

      • 設定入方向規則

        1. 單擊入方向規則頁簽,然後單擊管理入方向規則

        2. 根據以下資訊配置入方向規則,然後單擊確定

          配置

          說明

          優先順序

          入方向規則的生效順序。

          數字越小,優先順序越高,最多可配置20條規則。更多資訊,請參見規則生效順序

          規則名稱

          輸入入方向規則的名稱。

          類型

          當您建立IPv6類型的網路ACL規則後,入方向規則有以下類型:

          • 雲端服務:系統預設建立3條接受的雲端服務規則,優先順序固定最高且不能修改或刪除。

          • 自訂:系統預設建立2條全放通的自訂規則,您可以選擇刪除或修改這兩條自訂規則。

          • 系統:預設建立2條全拒絕的系統規則,優先順序固定最低且不能修改或刪除。

          當您建立僅支援IPv4類型的網路ACL規則後,系統預設建立一條IPv4類型的全放通自訂規則。

          說明

          您只能建立自訂的IPv4或IPv6入方向規則。

          策略

          選擇入方向規則的授權策略:

          • 允許:允許訪問交換器中ECS執行個體。

          • 拒絕:拒絕訪問交換器中ECS執行個體。

          協議類型

          選擇協議類型,支援以下類型:

          • ALL:所有協議。

          • ICMP:網路控制報文協議。

          • GRE:通用路由封裝協議。

          • TCP:傳輸控制通訊協定。

          • UDP:使用者資料包通訊協定。

          • ICMPv6:IPv6網路控制報文協議。僅支援選擇IPv6網段類型。

          IP網段類型

          選擇IP網段類型。取值:

          • IPv4

          • IPv6

          源地址

          設定資料流的源地址網段。

          預設為0.0.0.0/0

          目的連接埠範圍

          輸入入方向規則的目的連接埠範圍。

          連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

          當選擇ALLICMPGRE協議類型時,連接埠範圍無法設定,為-1/-1;當選擇TCPUDP協議類型時,連接埠範圍為1~65535。設定格式為1/20080/80,且不能設定為-1/-1

        3. (可選)您可以在入方向規則頁簽底部單擊添加IPv4規則添加IPv6規則添加一條自訂的入方向IPv4或IPv6規則。

      • 設定出方向規則

        1. 單擊出方向規則頁簽,然後單擊管理出方向規則

        2. 根據以下資訊配置出方向規則,然後單擊確定

          配置

          說明

          優先順序

          出方向規則的生效順序。

          數字越小,優先順序越高,最多可配置20條規則。更多資訊,請參見規則生效順序

          規則名稱

          輸入出方向規則的名稱。

          類型

          當您建立IPv6類型的網路ACL規則後,出方向規則有以下類型:

          • 雲端服務:系統預設建立3條接受的雲端服務規則,優先順序固定最高且不能修改或刪除。

          • 自訂:系統預設建立2條全放通的自訂規則,您可以選擇刪除或修改這兩條自訂規則。

          • 系統:預設建立2條全拒絕的系統規則,優先順序固定最低且不能修改或刪除。

          當您建立僅支援IPv4類型的網路ACL規則後,系統預設建立一條IPv4類型的全放通自訂規則。

          說明

          您僅可以建立自訂的IPv4或IPv6出方向規則。

          策略

          選擇出方向規則的授權策略:

          • 允許:允許交換器中的ECS執行個體訪問公網或私網。

          • 拒絕:拒絕交換器中的ECS執行個體訪問公網或私網。

          協議類型

          選擇協議類型,支援以下類型:

          • ALL:所有協議。

          • ICMP:網路控制報文協議。

          • GRE:通用路由封裝協議。

          • TCP:傳輸控制通訊協定。

          • UDP:使用者資料包通訊協定。

          • ICMPv6:IPv6網路控制報文協議。僅支援選擇IPv6網段類型。

          IP網段類型

          選擇IP網段類型。取值:

          • IPv4

          • IPv6

          目的地址

          輸入資料流的目的地址網段。

          預設為0.0.0.0/32

          目的連接埠範圍

          輸入出方向規則的目的連接埠範圍。

          連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

        3. (可選)您可以在出方向規則頁簽底部單擊添加IPv4規則添加IPv6規則添加一條自訂的出方向IPv4或IPv6規則。

    快速添加多網段網路ACL規則

    如果您需要對多個IP位址區段進行統一的網路存取控制時,您可以使用快速添加多網段網路ACL功能,使用該功能可以簡化業務配置並確保一致的安全性原則。

    1. 網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。

    2. 網路ACL基本資料地區,您可以快速添加多個網段的入方向規則或出方向規則。

      • 快速添加入方向規則

        1. 單擊入方向規則頁簽,然後單擊管理入方向規則

        2. 在頁簽底部單擊快速添加規則,在快速添加對話方塊中,根據以下資訊配置入方向規則,然後單擊確定

          配置

          說明

          策略

          選擇入方向規則的授權策略:

          • 允許:允許訪問交換器中ECS執行個體。

          • 拒絕:拒絕訪問交換器中ECS執行個體。

          IP地址

          輸入資料流的一個或多個源IPv4網段。

          目的連接埠範圍

          選擇入方向規則的目的連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明,請參見典型應用

          連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

          優先順序

          選擇生效順序,指定自訂規則插入的位置。關於優先順序的更多資訊,請參見網路ACL概述

          例如,如果插入生效順序為1的自訂規則後面,則需要輸入增加在第1條後

        3. 根據需要設定規則名稱、協議類型(預設建立TCP協議類型的規則)等資訊,然後單擊確定

      • 快速添加出方向規則

        1. 單擊出方向規則頁簽,然後單擊管理出方向規則

        2. 在頁簽底部單擊快速添加規則,在快速添加對話方塊中,根據以下資訊配置出方向規則,然後單擊確定

          配置

          說明

          策略

          選擇出方向規則的授權策略:

          • 允許:允許交換器中的ECS執行個體訪問公網或私網。

          • 拒絕:拒絕交換器中的ECS執行個體訪問公網或私網。

          IP地址

          輸入資料流的一個或多個目的IPv4網段。

          目的連接埠範圍

          選擇出方向規則的目的連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明,請參見典型應用

          連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/20080/80,其中-1/-1不能單獨設定,代表不限制連接埠。

          優先順序

          選擇生效順序,指定自訂規則插入的位置。關於優先順序的更多資訊,請參見網路ACL概述

          例如,如果插入生效順序為1的自訂規則後面,則需要輸入增加在第1條後

        3. 根據需要設定規則名稱、協議類型(預設建立TCP協議類型的規則)等資訊,然後單擊確定

    更多操作

    1. 登入專用網路管理主控台
    2. 在左側導覽列,選擇存取控制 > 網路ACL
    3. 在頂部功能表列,選擇網路ACL的地區。

    4. 網路ACL頁面,您可以根據需要進行如下操作。

      配置

      說明

      調整規則順序

      網路ACL按照規則生效順序執行規則,生效順序的值越小,優先順序越高。您可以為規則排序來指定規則執行的先後順序。

      1. 找到目標網路ACL,單擊網路ACL的執行個體ID。

      2. 網路ACL基本資料頁面,您可以調整入方向規則或出方向規則的順序。

        • 調整入方向規則順序

          1. 單擊入方向規則頁簽,然後單擊管理入方向規則

          2. 上下拖動規則,然後單擊確定

        • 調整出方向規則順序

          1. 單擊出方向規則頁簽,然後單擊管理出方向規則

          2. 上下拖動規則,然後單擊確定

      綁定網路ACL至交換器

      將網路ACL綁定至交換器前,請確保滿足以下條件:

      • 您已經建立了網路ACL並添加了網路ACL規則。

      • 交換器所屬的VPC與要綁定的網路ACL所屬的VPC相同。

      1. 找到目標網路ACL,然後在操作列單擊關聯交換器

      2. 已綁定資源頁簽下,單擊關聯交換器

      3. 關聯交換器對話方塊,選擇需要綁定的交換器,然後單擊確定關聯

        網路ACL僅允許綁定所屬VPC內的交換器,且每個交換器僅允許綁定一個網路ACL。

      解除綁定網路ACL與交換器

      您可以解除網路ACL與交換器的綁定關係,解除後,網路ACL將不再管控交換器中的ECS執行個體的流量。

      1. 找到目標網路ACL,然後在操作列單擊關聯交換器

      2. 已綁定資源頁簽下,找到需要解除綁定網路ACL的交換器,在操作列單擊解除綁定

      3. 解除綁定網路ACL對話方塊中,單擊確定

      刪除網路ACL

      您可以刪除網路ACL,刪除前必須解除綁定網路ACL關聯的交換器。

      1. 找到目標網路ACL,然後在操作列單擊刪除

      2. 刪除網路ACL對話方塊中,單擊確定

    相關文檔