网络ACL概述_网络ACL_专有网络 VPC

网络ACL（Network Access Control List）是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中ECS实例的流量的访问控制。

说明目前，各地域对网络ACL功能的支持情况不同，具体如下：

默认支持网络ACL功能的地域：华北5（呼和浩特）、西南1（成都）、印度尼西亚（雅加达）、英国（伦敦）、印度（孟买）、华南2（河源）。
白名单支持网络ACL功能的地域：华北1（青岛）、华北2（北京）、华东1（杭州）、华东2（上海）、华南1（深圳）、中国（香港）、美国（硅谷）、新加坡、德国（法兰克福）。如需使用，请提交申请。

除以上地域外，其他地域不支持网络ACL功能。

功能特性

网络ACL具有以下特性：

网络ACL规则仅过滤绑定的交换机中的ECS流量（包括SLB转发给ECS的流量）。

说明如果您的ECS实例绑定了辅助弹性网卡，且辅助弹性网卡绑定了设置网卡可见模式的EIP，那么网络ACL不过滤该ECS实例的流量。
网络ACL的规则是无状态的，设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。
网络ACL无任何规则时，会拒绝所有出入方向的访问。
网络ACL与交换机绑定，不过滤同一交换机内的ECS实例间的流量。

您可以在网络ACL中添加或删除规则，更改规则后会自动应用到与其绑定的交换机。新创建的网络ACL，默认会在出方向和入方向分别生成一条规则，表示允许所有出、入方向流量。您可以删除默认规则。出方向和入方向默认规则如下。

入方向规则


生效顺序	协议类型	源地址	目的端口范围	策略	类型
1	all	0.0.0.0/0	-1/-1	允许	自定义

出方向规则


生效顺序	协议类型	目标地址	目的端口范围	策略	类型
1	all	0.0.0.0/0	-1/-1	允许	自定义

网络ACL中的元素说明如下：

生效顺序：值越小，规则的优先级越高。系统从生效顺序为1的规则开始判断，只要有一条规则与流量匹配，即应用该规则，并忽略其他规则。

例如，ECS实例请求访问目的地址为172.16.0.1的数据包，在经过如下表所示的ACL规则配置后，172.16.0.1匹配生效顺序2和生效顺序3规则中的目的地址，由于生效顺序2的优先级高于生效顺序3，所以会根据生效顺序2规则拒绝该请求。


生效顺序	协议类型	目标地址	目的端口范围	策略	类型
1	all	10.0.0.0/8	-1/-1	允许	自定义
2	all	172.16.0.0/12	-1/-1	拒绝	自定义
3	all	172.16.0.0/12	-1/-1	允许	自定义

与交换机绑定的网络ACL规则控制允许进入交换机的数据流，与实例相关的安全组规则控制允许进入实例的数据流。网络ACL和安全组的基本差异如下表。

网络ACL和安全组提供的安全层如下。

网络ACL具有以下限制。


资源	默认限制	提升配额
单个VPC支持创建的网络ACL数量	200个	无法提升。
单个交换机支持绑定的网络ACL数量	1个	无法提升。
单个网络ACL支持创建的规则数量	入方向规则20条出方向规则20条	您可以通过以下任意方式自助提升配额：前往配额管理页面提升配额，详细信息，请参见管理配额。前往配额中心提升配额。详细信息，请参见申请提升配额。
不支持创建网络ACL的VPC	VPC中含有以下实例规格族中的任一实例： ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4 更多信息，请参见VPC高级功能概述。	升级不支持VPC高级功能的ECS实例的规格或释放不支持VPC高级功能的ECS实例。升级操作，请参见包年包月实例升配规格和按量付费实例变配规格。释放操作，请参见释放实例。说明如果您的VPC中含有ECS实例规格族限制中的任一实例，且您已经创建了网络ACL，为了保证正常使用网络ACL功能，请升级ECS实例规格或释放ECS实例。

网络ACL的使用流程图如下。