网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器ECS实例的流量的访问控制。

功能发布及地域支持情况
区域 | 支持网络ACL的地域 |
---|---|
亚太 | 华北5(呼和浩特)、华北6(乌兰察布)、华南2(河源)、华南3(广州)、西南1(成都)、印度尼西亚(雅加达)、澳大利亚(悉尼) |
欧洲与美洲 | 英国(伦敦)、美国(硅谷) |
中东与印度 | 印度(孟买) |
区域 | 支持网络ACL的地域 |
---|---|
亚太 | 华北1(青岛)、华北2(北京)、华北3(张家口)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)、日本(东京)、新加坡、马来西亚(吉隆坡) |
欧洲与美洲 | 德国(法兰克福) |
功能特性
- 网络ACL规则仅过滤绑定的交换机中的ECS实例的流量(包括SLB实例转发给ECS实例的流量)。
说明 如果您的ECS实例绑定了辅助弹性网卡,且辅助弹性网卡绑定了设置网卡可见模式的EIP,那么网络ACL不过滤该ECS实例的流量。更多信息,请参见设置EIP网卡可见模式。
- 网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。
- 网络ACL无任何规则时,会拒绝所有出入方向的访问。
- 网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量。
规则说明
您可以在网络ACL中添加或删除规则,更改规则后会自动应用到与其绑定的交换机。新创建的网络ACL,默认会在出方向和入方向分别生成一条规则,表示允许所有出、入方向流量。您可以删除默认规则。出方向和入方向默认规则如下所示。
- 入方向规则
生效顺序 协议类型 源地址 目的端口范围 策略 类型 1 all 0.0.0.0/0 -1/-1 允许 自定义 - 出方向规则
生效顺序 协议类型 目标地址 目的端口范围 策略 类型 1 all 0.0.0.0/0 -1/-1 允许 自定义
- 生效顺序:值越小,规则的优先级越高。 系统从生效顺序为1的规则开始判断,只要有一条规则与流量匹配,即应用该规则,并忽略其他规则。
例如,ECS实例请求访问目的地址为172.16.0.1的数据包,在经过如下表所示的ACL规则配置后,172.16.0.1匹配生效顺序2和生效顺序3规则中的目的地址,由于生效顺序2的优先级高于生效顺序3,所以会根据生效顺序2规则拒绝该请求。
生效顺序 协议类型 目标地址 目的端口范围 策略 类型 1 all 10.0.0.0/8 -1/-1 允许 自定义 2 all 172.16.0.0/12 -1/-1 拒绝 自定义 3 all 172.16.0.0/12 -1/-1 允许 自定义 - 策略:针对特定流量选择允许或拒绝。
- 协议类型:指定协议的类型,可选择all、icmp、gre、tcp和udp。
- 源地址(限入方向规则):数据流的源地址。
- 目标地址(限出方向规则):数据流的目标地址。
- 目的端口范围(限入方向规则):入方向规则作用的端口范围。
- 目的端口范围(限出方向规则):出方向规则作用的端口范围。
网络ACL与安全组
与交换机绑定的网络ACL规则控制流入和流出交换机的数据流,与ECS实例相关的安全组规则控制流入和流出ECS实例的数据流。网络ACL和安全组的基本差异如下表所示。
网络ACL | 安全组 |
---|---|
在交换机级别运行。 | 在实例级别运行。 |
无状态:返回数据流必须被规则明确允许。 | 有状态:返回数据流会被自动允许,不受任何规则的影响。 |
不评估所有规则,按照规则的生效顺序处理所有规则。 | 执行规则前,会评估所有规则。 |
ECS实例所属的交换机仅允许绑定一个网络ACL。 | 一个ECS实例可加入多个安全组。 |
网络ACL和安全组提供的安全层如下图所示。

使用限制
网络ACL具有以下限制。
资源 | 默认限制 | 提升配额 |
---|---|---|
单个VPC支持创建的网络ACL数量 | 200个 | 无法提升。 |
单个交换机支持绑定的网络ACL数量 | 1个 | |
单个网络ACL支持创建的规则数量 |
|
|
不支持创建网络ACL的VPC | VPC中含有以下实例规格族中的任一实例:
ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4 更多信息,请参见VPC高级功能。 |
升级不支持VPC高级功能的ECS实例的规格或释放不支持VPC高级功能的ECS实例。
说明 如果您的VPC中含有ECS实例规格族限制中的任一实例,且您已经创建了网络ACL,为了保证正常使用网络ACL功能,请升级ECS实例规格或释放ECS实例。
|
使用流程
网络ACL的使用流程图如下所示。

在文档使用中是否遇到以下问题
更多建议
匿名提交