您可以在Virtual Private Cloud中建立網路ACL並添加入方向和出方向規則。建立網路ACL後,您可以將網路ACL與交換器綁定,實現對交換器中的網路執行個體流量的存取控制。
前提條件
當您建立IPv6類型的網路ACL規則時,您需要為VPC開通IPv6網段。
關於如何為VPC開通IPv6網段,請參見VPC開通IPv6。
IPv6類型的網路ACL支援的地區,請參見IPv6網路ACL支援的地區。
注意事項
IPv4和IPv6自訂規則最多可分別配置20條規則,如需提升配額,請您前往配額中心申請。
建立網路ACL
您可以為VPC建立網路ACL並將其與交換器綁定,實現對交換器層級出入流量的存取控制。
- 登入專用網路管理主控台。
- 在左側導覽列,選擇 。
在頂部功能表列處,選擇要建立網路ACL的地區。在網路ACL頁面,單擊建立網路ACL。
在建立網路ACL對話方塊,配置以下資訊,其他參數可保持預設值或根據實際情況修改。
配置
說明
所屬專用網路
選擇網路ACL所屬的專用網路。
說明要關聯的專用網路的地區必須與網路ACL的地區相同。
添加網路ACL規則
建立網路ACL後,您可以為網路ACL添加入方向規則,管控公網或私網對交換器中ECS執行個體的訪問。您也可以為網路ACL添加出方向規則,管控交換器中的ECS執行個體對公網或私網的訪問。
網路ACL的規則是無狀態的,即設定入方向規則的允許請求後,需要同時設定相應的出方向規則,否則可能會導致請求無法響應。
- 在網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。
在網路ACL基本資料地區,您可以設定入方向規則或出方向規則。
設定入方向規則
單擊入方向規則頁簽,然後單擊管理入方向規則。
根據以下資訊配置入方向規則,然後單擊確定。
配置
說明
優先順序
入方向規則的生效順序。 數字越小,優先順序越高,最多可配置20條規則。
類型
當您建立IPv6類型的網路ACL規則後,入方向規則有以下類型:
雲端服務:系統預設建立3條接受的雲端服務規則,優先順序固定最高且不能修改或刪除。
自訂:系統預設建立2條全放通的自訂規則,您可以選擇刪除或修改這兩條自訂規則。
系統:預設建立2條全拒絕的系統規則,優先順序固定最低且不能修改或刪除。
當您建立僅支援IPv4類型的網路ACL規則後,系統預設建立一條IPv4類型的全放通自訂規則。
說明您只能建立自訂的IPv4或IPv6入方向規則。
策略
選擇入方向規則的授權策略:
允許:允許訪問交換器中ECS執行個體。
拒絕:拒絕訪問交換器中ECS執行個體。
協議類型
選擇協議類型,支援以下類型:
ALL:所有協議。
ICMP:網路控制報文協議。
GRE:通用路由封裝協議。
TCP:傳輸控制通訊協定。
UDP:使用者資料包通訊協定。
ICMPv6:IPv6網路控制報文協議。僅支援選擇IPv6網段類型。
IP版本
選擇IP網段類型。取值:
IPv4。
IPv6。
源地址
設定資料流的源地址網段。 預設為0.0.0.0/0。
源連接埠範圍
輸入入方向規則的源連接埠範圍。
連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/200、80/80,其中-1/-1不能單獨設定,代表不限制連接埠。
當選擇ALL、ICMP、GRE協議類型時,連接埠範圍無法設定,為-1/-1;當選擇TCP、UDP協議類型時,連接埠範圍為1~65535。設定格式為1/200或80/80,且不能設定為-1/-1。
(可選)您可以在入方向規則頁簽底部單擊添加IPv4規則或添加IPv6規則添加一條自訂的入方向IPv4或IPv6規則。
設定出方向規則
單擊出方向規則頁簽,然後單擊管理出方向規則。
根據以下資訊配置出方向規則,然後單擊確定。
配置
說明
優先順序
出方向規則的生效順序。 數字越小,優先順序越高,最多可配置20條規則。
類型
當您建立IPv6類型的網路ACL規則後,出方向規則有以下類型:
雲端服務:系統預設建立3條接受的雲端服務規則,優先順序固定最高且不能修改或刪除。
自訂:系統預設建立2條全放通的自訂規則,您可以選擇刪除或修改這兩條自訂規則。
系統:預設建立2條全拒絕的系統規則,優先順序固定最低且不能修改或刪除。
當您建立僅支援IPv4類型的網路ACL規則後,系統預設建立一條IPv4類型的全放通自訂規則。
說明您僅可以建立自訂的IPv4或IPv6出方向規則。
策略
選擇出方向規則的授權策略:
允許:允許交換器中的ECS執行個體訪問公網或私網。
拒絕:拒絕交換器中的ECS執行個體訪問公網或私網。
協議類型
選擇協議類型,支援以下類型:
ALL:所有協議。
ICMP:網路控制報文協議。
GRE:通用路由封裝協議。
TCP:傳輸控制通訊協定。
UDP:使用者資料包通訊協定。
ICMPv6:IPv6網路控制報文協議。僅支援選擇IPv6網段類型。
IP版本
選擇IP網段類型。取值:
IPv4。
IPv6。
目的地址
輸入資料流的目的地址網段。 預設為0.0.0.0/0。
目的連接埠範圍
輸入出方向規則的目的連接埠範圍。
連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/200、80/80,其中-1/-1不能單獨設定,代表不限制連接埠。
(可選)您可以在出方向規則頁簽底部單擊添加IPv4規則或添加IPv6規則添加一條自訂的出方向IPv4或IPv6規則。
快速添加多網段網路ACL規則
如果您需要對多個IP位址區段進行統一的網路存取控制,您可以使用快速添加多網段網路ACL功能,簡化業務配置並確保一致的安全性原則。
- 在網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。
在網路ACL基本資料地區,您可以快速添加多個網段的入方向規則或出方向規則。
快速添加入方向規則
單擊入方向規則頁簽,然後單擊管理入方向規則。
在頁簽底部單擊快速添加規則,在快速添加對話方塊中,根據以下資訊配置入方向規則,然後單擊確定。
配置
說明
策略
選擇入方向規則的授權策略:
允許:允許訪問交換器中ECS執行個體。
拒絕:拒絕訪問交換器中ECS執行個體。
IP地址
輸入資料流的一個或多個源IPv4網段。
源連接埠範圍
選擇入方向規則的源連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明,請參見典型應用。
連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/200、80/80,其中-1/-1不能單獨設定,代表不限制連接埠。
優先順序
選擇生效順序,指定自訂規則插入的位置。關於優先順序的更多資訊,請參見網路ACL概述。
例如,如果插入生效順序為1的自訂規則後面,則需要輸入增加在第1條後。
根據需要設定規則名稱、協議類型(預設建立TCP協議類型的規則)等資訊,然後單擊確定。
快速添加出方向規則
單擊出方向規則頁簽,然後單擊管理出方向規則。
在頁簽底部單擊快速添加規則,在快速添加對話方塊中,根據以下資訊配置出方向規則,然後單擊確定。
配置
說明
策略
選擇出方向規則的授權策略:
允許:允許交換器中的ECS執行個體訪問公網或私網。
拒絕:拒絕交換器中的ECS執行個體訪問公網或私網。
IP地址
輸入資料流的一個或多個目的IPv4網段。
目的連接埠範圍
選擇出方向規則的目的連接埠範圍。 連接埠範圍為1~65535。關於各個連接埠的詳細說明,請參見典型應用。
連接埠範圍為1~65535。使用正斜線(/)隔開開始端點口和終止連接埠,格式為1/200、80/80,其中-1/-1不能單獨設定,代表不限制連接埠。
優先順序
選擇生效順序,指定自訂規則插入的位置。關於優先順序的更多資訊,請參見網路ACL概述。
例如,如果插入生效順序為1的自訂規則後面,則需要輸入增加在第1條後。
根據需要設定規則名稱、協議類型(預設建立TCP協議類型的規則)等資訊,然後單擊確定。
大量匯入/匯出網路ACL規則
您可以通過大量匯入/匯出網路ACL規則,保證資料的一致性,提升配置效率。
快速配置網路ACL規則:您可以將網路ACL規則檔案匯入到已建立的網路ACL,實現網路ACL規則的快速應用。
本地備份網路ACL規則:您可以大量匯出網路ACL規則,進行本地備份。
大量匯入網路ACL規則
當前僅支援根據下載模板(CSV檔案)匯入規則。
模板中列出的所有配置項均需填寫,缺少配置項的規則無法匯入。
如果網路ACL執行個體未開通IPv6功能,IP版本為IPv6的規則無法匯入。
成功匯入的規則在原有規則的基礎上順序添加,不覆蓋原有規則。
在網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。
單擊入方向規則/出方向規則頁簽,單擊匯入規則。
下載模板,根據模板填寫需要匯入的網路ACL規則。
在匯入規則對話方塊中,單擊或拖動檔案到虛線框內上傳。
大量匯出網路ACL規則
單擊匯出規則,將相應CSV檔案下載並儲存到本地。
更多操作
- 登入專用網路管理主控台。
- 在左側導覽列,選擇 。
- 在頂部功能表列,選擇網路ACL的地區。
在網路ACL頁面,您可以根據需要進行如下操作。
配置
說明
調整規則順序
網路ACL按照規則生效順序執行規則,生效順序的值越小,優先順序越高。您可以為規則排序來指定規則執行的先後順序。
找到目標網路ACL,單擊網路ACL的執行個體ID。
在網路ACL基本資料頁面,您可以調整入方向規則或出方向規則的順序。
調整入方向規則順序
單擊入方向規則頁簽,然後單擊管理入方向規則。
上下拖動規則,然後單擊確定。
調整出方向規則順序
單擊出方向規則頁簽,然後單擊管理出方向規則。
上下拖動規則,然後單擊確定。
綁定網路ACL至交換器
將網路ACL綁定至交換器前,請確保滿足以下條件:
您已經建立了網路ACL並添加了網路ACL規則。
交換器所屬的VPC與要綁定的網路ACL所屬的VPC相同。
找到目標網路ACL,然後在操作列單擊關聯交換器。
在已綁定資源頁簽下,單擊關聯交換器。
在關聯交換器對話方塊,選擇需要綁定的交換器,然後單擊確定關聯。
網路ACL僅允許綁定所屬VPC內的交換器,且每個交換器僅允許綁定一個網路ACL。
解除綁定網路ACL與交換器
您可以解除網路ACL與交換器的綁定關係,解除後,網路ACL將不再管控交換器中的ECS執行個體的流量。
找到目標網路ACL,然後在操作列單擊關聯交換器。
在已綁定資源頁簽下,找到需要解除綁定網路ACL的交換器,在操作列單擊解除綁定。
在解除綁定網路ACL對話方塊中,單擊確定。
刪除網路ACL
您可以刪除網路ACL,刪除前必須解除綁定網路ACL關聯的交換器。
找到目標網路ACL,然後在操作列單擊刪除。
在刪除網路ACL對話方塊中,單擊確定。
相關文檔
CreateNetworkAcl:建立網路ACL。
更新網路ACL規則:更新網路ACL規則。
AssociateNetworkAcl:綁定網路ACL至交換器。
UnassociateNetworkAcl:解除網路ACL與交換器的綁定。
DeleteNetworkAcl:刪除網路ACL。