网络ACL是专有网络VPC中的网络访问控制功能。您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中ECS实例流量的访问控制。

任务

创建网络ACL

您已经创建了专有网络。具体操作,请参见创建和管理专有网络

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏处,选择要创建网络ACL的地域。
    网络ACL功能支持的地域信息,请参见功能发布及地域支持情况
  4. 网络ACL页面,单击创建网络ACL
  5. 创建网络ACL对话框,根据以下信息配置网络ACL,然后单击确定
    配置 说明
    所属专有网络 选择网络ACL所属的专有网络。
    说明 要关联的专有网络的地域必须与网络ACL的地域相同。

    如果专有网络中含有以下ECS实例规格族中的任一实例,则不支持为该专有网络创建网络ACL。

    ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4

    如需创建网络ACL,请升级不支持VPC高级功能的ECS实例的规格或释放不支持VPC高级功能的ECS实例。 更多关于VPC高级功能的信息,请参见VPC高级功能
    说明 如果您的VPC中含有ECS实例规格族限制中的任一实例,且您已经创建了网络ACL,为了保证正常使用网络ACL功能,请升级ECS实例规格或释放ECS实例。
    名称 网络ACL的名称。

    名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    描述 网络ACL的描述。

    描述长度为2~256个字符,不能以http://https://开头。

添加网络ACL规则

创建网络ACL后,您可以为网络ACL添加入方向规则,管控公网或私网对交换机中ECS实例的访问。您也可以为网络ACL添加出方向规则,管控交换机中的ECS实例对公网或私网的访问。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息页面,您可以设置入方向规则或出方向规则。
    • 设置入方向规则
      1. 入方向规则页签下,单击管理入方向规则
      2. 根据以下信息配置入方向规则,然后单击确定
        配置 说明
        优先级 入方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序

        规则名称 入方向规则的名称。

        长度为2~128个字符,必须以字母或中文开头,可包含数字、下划线(_)和短划线(-),但不能以http://https://开头。

        策略 选择入方向规则的授权策略:
        • 允许:允许访问交换机中ECS实例。
        • 拒绝:拒绝访问交换机中ECS实例。
        协议类型 选择传输层协议,支持选择以下协议:
        • ALL:所有协议。
        • ICMP:网络控制报文协议。
        • GRE:通用路由封装协议。
        • TCP:传输控制协议。
        • UDP:用户数据报协议。
        源地址 数据流的源地址网段。

        默认为0.0.0.0/32。

        源端口范围 输入源端口范围。

        端口范围为1~65535,使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

    • 设置出方向规则
      1. 出方向规则页签下,单击管理出方向规则
      2. 根据以下信息配置出方向规则,然后单击确定
        配置 说明
        优先级 出方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序

        规则名称 出方向规则的名称。

        名称长度为2~128个字符,必须以字母或中文开头,可包含数字、下划线(_)和短划线(-),但不能以http://https://开头。

        策略 选择出方向规则的授权策略:
        • 允许:允许交换机中的ECS实例访问公网或私网。
        • 拒绝:拒绝交换机中的ECS实例访问公网或私网。
        协议类型 选择传输层协议,支持选择以下协议:
        • ALL:所有协议。
        • ICMP:网络控制报文协议。
        • GRE:通用路由封装协议。
        • TCP:传输控制协议。
        • UDP:用户数据报协议。
        目标地址 数据流的目标地址网段。

        默认为0.0.0.0/32。

        目标端口范围 输入目标端口范围。

        端口范围为1~65535,使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

调整规则顺序

网络ACL按照规则生效顺序执行规则,生效顺序的值越小,优先级越高。您可以为规则排序来指定规则执行的先后顺序。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息页面,您可以调整入方向规则或出方向规则的顺序。
    • 调整入方向规则顺序
      1. 入方向规则页签下,单击管理入方向规则
      2. 上下拖动规则,然后单击确定
    • 调整出方向规则顺序
      1. 出方向规则页签下,单击管理出方向规则
      2. 上下拖动规则,然后单击确定

绑定网络ACL绑定到交换机

将网络ACL绑定到交换机前,请确保满足以下条件:
  • 您已经创建了网络ACL并添加网络ACL规则。
  • 您已经创建了交换机,且交换机所属的VPC与要绑定的网络ACL所属的VPC相同。具体操作,请参见使用交换机
  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,然后在操作列单击关联交换机
  5. 已绑定资源页签下,单击关联交换机
  6. 关联交换机对话框,选择需要绑定的交换机,然后单击确定关联
    网络ACL仅允许绑定所属VPC内的交换机,且每个交换机仅允许绑定一个网络ACL。

解绑网络ACL与交换机

您可以解除网络ACL与交换机的绑定关系,解除后,网络ACL将不再管控交换机中的ECS实例的流量。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,然后在操作列单击关联交换机
  5. 关联交换机页签下,找到需要解绑网络ACL的交换机,在操作列单击解绑
  6. 解绑网络ACL对话框中,单击确定

删除网络ACL

您可以删除网络ACL,删除前必须解绑网络ACL关联的交换机。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,然后在操作列单击删除
  5. 删除网络ACL对话框中,单击确定