網絡ACL
網絡ACL(Network Access Control List)是專有網絡VPC中的網絡訪問控制功能。您可以自定義設置網絡ACL規則,并將網絡ACL與交換機綁定,實現對交換機中云服務器ECS實例流量的訪問控制。
功能特性
網絡ACL規則僅過濾綁定的交換機中ECS實例的流量(包括SLB實例轉發給ECS實例的流量)。
說明如果您的ECS實例綁定了輔助彈性網卡,且輔助彈性網卡綁定了設置網卡可見模式的EIP,那么網絡ACL不過濾該ECS實例的流量。更多信息,請參見設置EIP網卡可見模式。
網絡ACL的規則是無狀態的,即設置入方向規則的允許請求后,需要同時設置相應的出方向規則,否則可能會導致請求無法響應。
網絡ACL無任何規則時,會拒絕所有出入方向的訪問。
網絡ACL與交換機綁定,不過濾同一交換機內的ECS實例間的流量。
網絡ACL放通的DNS服務器為100.100.2.128/28、100.100.2.112/28;放通的Metaserver(元數據服務器)為100.100.100.200/32。
規則說明
規則元素說明
網絡ACL中的元素說明如下:
生效順序:值越小,規則的優先級越高。系統從生效順序為1的規則開始判斷,只要有一條規則與流量匹配,即應用該規則,并忽略其他規則。
例如,ECS實例請求訪問目的地址為172.16.0.1的數據包,在經過如下表所示的ACL規則配置后,172.16.0.1匹配生效順序2和生效順序3規則中的目的地址,由于生效順序2的優先級高于生效順序3,所以會根據生效順序2規則拒絕該請求。
生效順序
協議類型
目的地址
目的端口范圍
策略
類型
1
ALL
10.0.0.0/8
-1/-1
允許
自定義
2
ALL
172.16.0.0/12
-1/-1
拒絕
自定義
3
ALL
172.16.0.0/12
-1/-1
允許
自定義
策略:針對特定流量選擇允許或拒絕。
協議類型:指定數據流的協議類型,可選擇以下協議。
ALL:所有協議。當選擇所有協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。
ICMP:網絡控制報文協議。當選擇該協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。
GRE:通用路由封裝協議。當選擇該協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。
TCP:傳輸控制協議。當選擇該協議類型時,端口范圍為1~65535。設置格式為1/200或80/80,且不能設置為-1/-1。
UDP:用戶數據報協議。端口范圍為1~65535。設置格式為1/200或80/80,且不能設置為-1/-1。
ICMPv6:IPv6網絡控制報文協議。當選擇所有協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。
源地址(限入方向規則):數據流的源地址。
目的地址(限出方向規則):數據流的目的地址。
源端口范圍(限入方向規則):入方向規則作用的端口范圍。
目的端口范圍(限出方向規則):出方向規則作用的端口范圍。
出方向和入方向規則
添加出方向規則和入方向規則前,您需要了解:
在網絡ACL中添加或刪除規則,更改規則后會自動應用到與其綁定的交換機。
在網絡ACL中添加IPv6類型的出方向規則和入方向規則時,您需要為網絡ACL所在的VPC分配IPv6網段。
當您配置了DHCP選項集時,您需要在網絡ACL的出入方向規則中添加放行DNS域名服務器配置的IP地址。當未添加規則時,可能會造成DHCP選項集的業務異常。
默認創建的出方向和入方向規則會根據選擇的地域有所不同。
選擇的地域不支持IPv6網絡ACL時,入方向和出方向默認創建1條規則。
入方向規則
生效順序
協議類型
源地址
源端口范圍
策略
類型
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
出方向規則
生效順序
協議類型
目的地址
目的端口范圍
策略
類型
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
除以上地域外的其他地域:
如果ACL所屬的VPC未啟用IPv6能力,出入方向會默認創建5條規則,其中云服務路由是網絡ACL放通的DNS服務器和Metaserver(元數據服務器)的地址。
入方向規則
生效順序
協議類型
源地址
源端口范圍
策略
類型
*
ALL
100.100.2.128/28
0:65535
允許
云服務
*
ALL
100.100.2.112/28
0:65535
允許
云服務
*
ALL
100.100.100.200/32
0:65535
允許
云服務
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統
出方向規則
生效順序
協議類型
目的地址
目的端口范圍
策略
類型
*
ALL
100.100.2.128/28
0:65535
允許
云服務
*
ALL
100.100.2.112/28
0:65535
允許
云服務
*
ALL
100.100.100.200/32
0:65535
允許
云服務
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統
如果ACL所屬的VPC開啟IPv6能力,則入方向和出方向各添加一條系統默認拒絕和一條自定義全放通規則,因此會默認創建7條規則。
入方向規則
生效順序
協議類型
源地址
源端口范圍
策略
類型
*
ALL
100.100.2.128/28
0:65535
允許
云服務
*
ALL
100.100.2.112/28
0:65535
允許
云服務
*
ALL
100.100.100.200/32
0:65535
允許
云服務
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
2
ALL
::/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統
*
ALL
::/0
0:65535
拒絕
系統
出方向規則
生效順序
協議類型
目的地址
目的端口范圍
策略
類型
*
ALL
100.100.2.128/28
0:65535
允許
云服務
*
ALL
100.100.2.112/28
0:65535
允許
云服務
*
ALL
100.100.100.200/32
0:65535
允許
云服務
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
2
ALL
::/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統
*
ALL
::/0
0:65535
拒絕
系統
使用限制和配額
功能發布及地域支持情況
IPv4網絡ACL支持的地域
公有云支持的地域
區域 | 支持IPv4網絡ACL的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地域)、華東6(福州-本地地域)、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、泰國(曼谷) |
歐洲與美洲 | 德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞) |
中東 | 阿聯酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運營。 |
金融云支持的地域
區域 | 支持IPv4類型網絡ACL的地域 |
亞太 | 華南1 金融云、華東2 金融云、華北2 金融云(邀測) |
政務云支持的地域
區域 | 支持IPv4類型網絡ACL的地域 |
亞太 | 華北2 阿里政務云1 |
IPv6網絡ACL支持的地域
區域 | 支持IPv6網絡ACL的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南3(廣州)、西南1(成都)、中國香港、日本(東京)、韓國(首爾)、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、泰國(曼谷) |
歐洲與美洲 | 德國(法蘭克福)、美國(硅谷)、美國(弗吉尼亞) |
中東 | 阿聯酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運營。 |
配額限制
配額名稱 | 描述 | 默認限制 | 提升配額 |
vpc_quota_nacl_ingress_entry | 單個網絡ACL支持創建的入方向規則數量 | 20條 | |
vpc_quota_nacl_egress_entry | 單個網絡ACL支持創建的出方向規則數量 | 20條 | |
nacl_quota_vpc_create_count | 單個VPC支持創建的網絡ACL數量 | 20個 |
相關文檔
您可以參考創建和管理網絡ACL,使用網絡ACL實現對VPC的訪問控制。
您可以使用網絡ACL限制不同交換機下的ECS間的互通或限制本地數據中心與云上的互通。