网络ACL概述 - 专有网络 VPC

功能发布及地域支持情况

网络ACL功能支持的地域如下表所示。


区域	支持网络ACL的地域
亚太	华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华东1（杭州）、华东2（上海）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国（香港）、日本（东京）、新加坡、澳大利亚（悉尼）、马来西亚（吉隆坡）、印度尼西亚（雅加达）
欧洲与美洲	英国（伦敦）、美国（硅谷）、美国（弗吉尼亚）、德国（法兰克福）
中东与印度	印度（孟买）、阿联酋（迪拜）

网络ACL具有以下特性：

网络ACL规则仅过滤绑定的交换机中的ECS实例的流量（包括SLB实例转发给ECS实例的流量）。

说明如果您的ECS实例绑定了辅助弹性网卡，且辅助弹性网卡绑定了设置网卡可见模式的EIP，那么网络ACL不过滤该ECS实例的流量。更多信息，请参见设置EIP网卡可见模式。
网络ACL的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。
网络ACL无任何规则时，会拒绝所有出入方向的访问。
网络ACL与交换机绑定，不过滤同一交换机内的ECS实例间的流量。

您可以在网络ACL中添加或删除规则，更改规则后会自动应用到与其绑定的交换机。新创建的网络ACL，默认会在出方向和入方向分别生成一条规则，表示允许所有出、入方向流量。您可以删除默认规则。出方向和入方向默认规则如下所示。

入方向规则


生效顺序	协议类型	源地址	源端口范围	策略	类型
1	all	0.0.0.0/0	-1/-1	允许	自定义

出方向规则


生效顺序	协议类型	目标地址	目的端口范围	策略	类型
1	all	0.0.0.0/0	-1/-1	允许	自定义

网络ACL中的元素说明如下：

生效顺序：值越小，规则的优先级越高。系统从生效顺序为1的规则开始判断，只要有一条规则与流量匹配，即应用该规则，并忽略其他规则。

例如，ECS实例请求访问目的地址为172.16.0.1的数据包，在经过如下表所示的ACL规则配置后，172.16.0.1匹配生效顺序2和生效顺序3规则中的目的地址，由于生效顺序2的优先级高于生效顺序3，所以会根据生效顺序2规则拒绝该请求。


生效顺序	协议类型	目标地址	目的端口范围	策略	类型
1	all	10.0.0.0/8	-1/-1	允许	自定义
2	all	172.16.0.0/12	-1/-1	拒绝	自定义
3	all	172.16.0.0/12	-1/-1	允许	自定义

与交换机绑定的网络ACL规则控制流入和流出交换机的数据流，与ECS实例相关的安全组规则控制流入和流出ECS实例的数据流。网络ACL和安全组的基本差异如下表所示。

网络ACL和安全组提供的安全层如下图所示。

网络ACL具有以下限制。


资源	默认限制	提升配额
单个VPC支持创建的网络ACL数量	200个	无法提升。
单个交换机支持绑定的网络ACL数量	1个	无法提升。
单个网络ACL支持创建的规则数量	入方向规则20条出方向规则20条	您可以通过以下任意方式自助提升配额：前往配额管理页面提升配额，具体操作，请参见管理配额。前往配额中心提升配额。具体操作，请参见创建配额提升申请。
不支持创建网络ACL的VPC	VPC中含有以下实例规格族中的任一实例： ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4 更多信息，请参见VPC高级功能。	升级不支持VPC高级功能的ECS实例的规格或释放不支持VPC高级功能的ECS实例。升级操作，请参见包年包月实例升配规格和按量付费实例变配规格。释放操作，请参见释放实例。说明如果您的VPC中含有ECS实例规格族限制中的任一实例，且您已经创建了网络ACL，为了保证正常使用网络ACL功能，请升级ECS实例规格或释放ECS实例。

网络ACL的使用流程图如下所示。

具体操作，请参见使用网络ACL。