网络ACL概述
最近更新时间:2024.04.11 11:55:25
首次发布时间:2022.04.28 07:33:22
简介
网络ACL(Network Access Control List)是私有网络VPC中的安全访问控制功能,提供子网级别的安全策略,您可以通过配置网络ACL出入方向规则控制子网的流量。
网络ACL可以与安全组配合使用,安全组提供实例级别的安全防护,ACL基于子网提供额外的安全防御层,为私有网络VPC提供更加精准灵活的安全访问策略,进一步提升云上资源的安全性。
网络ACL规则
组成
网络ACL主要由三元组(源地址/目的地址、协议、目的端口)组成,涉及参数如下:
一条网络ACL规则由方向、优先级、策略、协议类型、源地址/目的地址、目的端口六个参数组成,说明如下:
| 参数 | 说明 | 示例 |
|---|---|---|
方向 | 分为入方向规则和出方向规则。
| 入方向 |
| 优先级 | 网络ACL的优先级,从1开始,从小到大排列,即1为最大优先级,拖动调整顺序自动变更网络ACL规则优先级。*为默认优先级,优先级最低。 | 1 |
| 策略 | 允许或拒绝。 | 允许 |
| 协议类型 | 支持ALL、TCP、UDP、ICMP、ICMPv6。 | TCP |
源地址/目的地址 |
| 10.0.1.0/24 |
目的端口 |
| 80-81 |
示例中的入方向规则:允许IP地址在10.0.1.0/24范围内的资源通过80-81端口,以TCP协议访问网络ACL关联的子网的网卡。
说明
网络ACL为无状态。返回数据流必须被规则明确允许,即流量需要出方向和入方向均被规则明确允许。
匹配说明
- 创建网络ACL后,默认在出方向和入方向分别生成一条优先级为 * (优先级最低,不可修改)的规则,表示拒绝所有出、入方向流量,确保数据流与所有规则都不能成功匹配时,拒绝该数据流。此规则不支持删除。
- 网络ACL规则优先级唯一,数值越小,优先级越高。从优先级最高规则起匹配生效,只要有一条规则与流量匹配,即应用该规则,忽略其他规则。
默认规则
IPv4单栈私有网络时:
| 优先级 | 策略 | 协议 | 源地址/目的地址 | 目的端口 | 描述 |
|---|---|---|---|---|---|
| 1 | 允许 | ALL | 0.0.0.0/0 | ALL | 允许所有IPv4流量 |
| * | 拒绝 | ALL | 0.0.0.0/0 | ALL | 拒绝所有IPv4流量,优先级最低,不支持删除 |
IPv4&IPv6双栈私有网络时:
| 优先级 | 策略 | 协议 | 源地址/目的地址 | 目的端口 | 描述 |
|---|---|---|---|---|---|
| 1 | 允许 | ALL | 0.0.0.0/0 | ALL | 允许所有IPv4流量 |
| 2 | 允许 | ALL | ::/0 | ALL | 允许所有IPv6流量 |
| * | 拒绝 | ALL | 0.0.0.0/0 | ALL | 拒绝所有IPv4流量,优先级最低,不支持删除 |
| * | 拒绝 | ALL | ::/0 | ALL | 拒绝所有IPv6流量,优先级最低,不支持删除 |
说明
为私有网络开通IPv6的功能正在邀测中,如需试用,请联系客户经理。
网络ACL与安全组差异
对比项 | 网络ACL | 安全组 |
|---|---|---|
| 作用范围 | 子网。即子网关联网络ACL后,该子网内所有资源均受网络ACL规则限制。 | 网卡。即网卡加入安全组后,该网卡受到安全组规则的限制。 |
| 有无状态 | 无状态。返回数据流必须被规则明确允许,即流量需要出方向和入方向均被规则明确允许。 | 有状态。返回数据流会被自动允许,不受规则影响,即网卡主动访问时,只需要出方向规则允许即可,数据不受入方向规则影响;网卡被访问时,只需要入方向规则允许即可,数据不受出方向规则影响。 |
| 规则优先级 | 规则的优先级唯一,按照规则优先级生效。 | 规则优先级不唯一。当优先级不同时,按照规则优先级生效;当优先级相同时,拒绝策略优先于允许策略。 |
| 关联实例限制 | 一个子网仅允许关联一个网络ACL。 | 单张网卡默认最多可关联5个安全组。 |
使用限制
网络ACL的使用限制请参见约束限制。
配置流程
网络ACL的基本配置流程如下: