文档

创建和管理网络ACL

更新时间:

您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中的网络实例流量的访问控制。

前提条件

  • 您已经创建了专有网络VPC和交换机。具体操作,请参见创建和管理专有网络

  • 当您创建IPv6类型的网络ACL规则时,您需要为VPC开通IPv6网段,且IPv6类型的网络ACL只有菲律宾(马尼拉)地域可用。具体操作,请参见VPC开通IPv6

创建网络ACL

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏处,选择要创建网络ACL的地域。

    网络ACL功能支持的地域信息,请参见功能发布及地域支持情况

  4. 网络ACL页面,单击创建网络ACL

  5. 创建网络ACL对话框,根据以下信息配置网络ACL,然后单击确定

    配置

    说明

    资源组

    选择网络ACL所属的资源组。

    标签键

    选择或输入完整的标签键。最多支持输入20个标签键。

    标签键最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    标签值

    选择或输入完整的标签值。最多支持输入20个标签值。

    标签值最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    所属专有网络

    选择网络ACL所属的专有网络。

    说明

    要关联的专有网络的地域必须与网络ACL的地域相同。

    如果专有网络中含有以下ECS实例规格族中的任一实例,则不支持为该专有网络创建网络ACL。

    ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4

    如需创建网络ACL,请升级不支持VPC高级功能的ECS实例的规格或释放不支持VPC高级功能的ECS实例。 更多关于VPC高级功能的信息,请参见VPC高级功能

    说明

    如果您的VPC中含有ECS实例规格族限制中的任一实例,且您已经创建了网络ACL,为了保证正常使用网络ACL功能,请升级ECS实例规格或释放ECS实例。

    名称

    输入网络ACL的名称。

    描述

    输入网络ACL的描述。

添加网络ACL规则

创建网络ACL后,您可以为网络ACL添加入方向规则,管控公网或私网对交换机中ECS实例的访问。您也可以为网络ACL添加出方向规则,管控交换机中的ECS实例对公网或私网的访问。

重要

网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息页面,您可以设置入方向规则或出方向规则。

    • 设置入方向规则

      1. 单击入方向规则页签,然后单击管理入方向规则

      2. 根据以下信息配置入方向规则,然后单击确定

        配置

        说明

        优先级

        入方向规则的生效顺序。

        数字越小,优先级越高。更多信息,请参见规则生效顺序

        规则名称

        输入入方向规则的名称。

        类型

        当您创建IPv6类型的网络ACL规则后,入方向规则有以下类型:

        • 云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。

        • 自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。

        • 系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。

        当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。

        说明

        您仅可以创建自定义的IPv4或IPv6入方向规则。

        策略

        选择入方向规则的授权策略:

        • 允许:允许访问交换机中ECS实例。

        • 拒绝:拒绝访问交换机中ECS实例。

        协议类型

        选择协议类型,支持以下类型:

        • ALL:所有协议。

        • ICMP:网络控制报文协议。

        • GRE:通用路由封装协议。

        • TCP:传输控制协议。

        • UDP:用户数据报协议。

        • ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。

        IP网段类型

        选择IP网段类型。取值:

        • IPv4

        • IPv6

        源地址

        设置数据流的源地址网段。

        默认为0.0.0.0/0

        目的端口范围

        输入入方向规则的目的端口范围。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/20080/80,其中-1/-1不能单独设置,代表不限制端口。

        当选择ALLICMPGRE协议类型时,端口范围无法设置,为-1/-1;当选择TCPUDP协议类型时,端口范围为1~65535。设置格式为1/20080/80,且不能设置为-1/-1

      3. (可选)您可以在入方向规则页签底部单击添加IPv4规则添加IPv6规则添加一条入方向自定义的IPv4或IPv6规则。

        说明

        IPv4和IPv6自定义规则最多可分别配置20条规则,如需提升配额,请您前往配额中心申请。

    • 设置出方向规则

      1. 单击出方向规则页签,然后单击管理出方向规则

      2. 根据以下信息配置出方向规则,然后单击确定

        配置

        说明

        优先级

        出方向规则的生效顺序。

        数字越小,优先级越高。更多信息,请参见规则生效顺序

        规则名称

        输入出方向规则的名称。

        类型

        当您创建IPv6类型的网络ACL规则后,出方向规则有以下类型:

        • 云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。

        • 自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。

        • 系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。

        当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。

        说明

        您仅可以创建自定义的IPv4或IPv6出方向规则。

        策略

        选择出方向规则的授权策略:

        • 允许:允许交换机中的ECS实例访问公网或私网。

        • 拒绝:拒绝交换机中的ECS实例访问公网或私网。

        协议类型

        选择协议类型,支持以下类型:

        • ALL:所有协议。

        • ICMP:网络控制报文协议。

        • GRE:通用路由封装协议。

        • TCP:传输控制协议。

        • UDP:用户数据报协议。

        • ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。

        IP网段类型

        选择IP网段类型。取值:

        • IPv4

        • IPv6

        目的地址

        输入数据流的目的地址网段。

        默认为0.0.0.0/32

        目的端口范围

        输入出方向规则的目的端口范围。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/20080/80,其中-1/-1不能单独设置,代表不限制端口。

      3. (可选)您可以在出方向规则页签底部单击添加IPv4规则添加IPv6规则添加一条出方向自定义的IPv4或IPv6规则。

        说明

        IPv4和IPv6自定义规则最多可分别配置20条规则,如需提升配额,请您前往配额中心申请。

调整规则顺序

网络ACL按照规则生效顺序执行规则,生效顺序的值越小,优先级越高。您可以为规则排序来指定规则执行的先后顺序。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息页面,您可以调整入方向规则或出方向规则的顺序。

    • 调整入方向规则顺序

      1. 单击入方向规则页签,然后单击管理入方向规则

      2. 上下拖动规则,然后单击确定

    • 调整出方向规则顺序

      1. 单击出方向规则页签,然后单击管理出方向规则

      2. 上下拖动规则,然后单击确定

绑定网络ACL至交换机

将网络ACL绑定至交换机前,请确保满足以下条件:

  • 您已经创建了网络ACL并添加了网络ACL规则。

  • 交换机所属的VPC与要绑定的网络ACL所属的VPC相同。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,然后在操作列单击关联交换机
  5. 已绑定资源页签下,单击关联交换机

  6. 关联交换机对话框,选择需要绑定的交换机,然后单击确定关联

    网络ACL仅允许绑定所属VPC内的交换机,且每个交换机仅允许绑定一个网络ACL。

解绑网络ACL与交换机

您可以解除网络ACL与交换机的绑定关系,解除后,网络ACL将不再管控交换机中的ECS实例的流量。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,然后在操作列单击关联交换机
  5. 已绑定资源页签下,找到需要解绑网络ACL的交换机,在操作列单击解绑

  6. 解绑网络ACL对话框中,单击确定

删除网络ACL

您可以删除网络ACL,删除前必须解绑网络ACL关联的交换机。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,然后在操作列单击删除

  5. 删除网络ACL对话框中,单击确定

相关文档

  • 本页导读 (1)
文档反馈