创建和管理网络ACL
您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中的网络实例流量的访问控制。
前提条件
当您创建IPv6类型的网络ACL规则时,您需要为VPC开通IPv6网段。
关于如何为VPC开通IPv6网段,请参见VPC开通IPv6。
IPv6类型的网络ACL支持的地域,请参见IPv6网络ACL支持的地域。
注意事项
IPv4和IPv6自定义规则最多可分别配置20条规则,如需提升配额,请您前往配额中心申请。
创建网络ACL
- 登录专有网络管理控制台专有网络管理控制台。
- 在左侧导航栏,选择 。
在顶部菜单栏处,选择要创建网络ACL的地域。
在网络ACL页面,单击创建网络ACL。
在创建网络ACL对话框,根据以下信息配置网络ACL,然后单击确定。
配置
说明
资源组
选择ACL所属的资源组。
标签键
选择或输入完整的标签键。最多支持输入20个标签键。
标签键最多支持128个字符,不能以
aliyun
或acs:
开头,也不能包含http://
或https://
。标签值
选择或输入完整的标签值。最多支持输入20个标签值。
标签值最多支持128个字符,不能以
aliyun
或acs:
开头,也不能包含http://
或https://
。所属专有网络
选择网络ACL所属的专有网络。
说明要关联的专有网络的地域必须与网络ACL的地域相同。
网络ACL属于VPC高级功能。当所属VPC不支持该高级功能(不支持创建网络ACL)时,您需要联系阿里云工程师处理。
名称
输入网络ACL的名称。
描述
输入网络ACL的描述。
添加网络ACL规则
创建网络ACL后,您可以为网络ACL添加入方向规则,管控公网或私网对交换机中ECS实例的访问。您也可以为网络ACL添加出方向规则,管控交换机中的ECS实例对公网或私网的访问。
网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。
- 登录专有网络管理控制台专有网络管理控制台。
- 在左侧导航栏,选择 。
- 在顶部菜单栏,选择网络ACL的地域。
- 在网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
在网络ACL基本信息区域,您可以设置入方向规则或出方向规则。
设置入方向规则
单击入方向规则页签,然后单击管理入方向规则。
根据以下信息配置入方向规则,然后单击确定。
配置
说明
优先级
入方向规则的生效顺序。
数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序。
规则名称
输入入方向规则的名称。
类型
当您创建IPv6类型的网络ACL规则后,入方向规则有以下类型:
云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。
自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。
系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。
当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。
说明您只能创建自定义的IPv4或IPv6入方向规则。
策略
选择入方向规则的授权策略:
允许:允许访问交换机中ECS实例。
拒绝:拒绝访问交换机中ECS实例。
协议类型
选择协议类型,支持以下类型:
ALL:所有协议。
ICMP:网络控制报文协议。
GRE:通用路由封装协议。
TCP:传输控制协议。
UDP:用户数据报协议。
ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。
IP网段类型
选择IP网段类型。取值:
IPv4。
IPv6。
源地址
设置数据流的源地址网段。
默认为0.0.0.0/0。
目的端口范围
输入入方向规则的目的端口范围。
端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。
当选择ALL、ICMP、GRE协议类型时,端口范围无法设置,为-1/-1;当选择TCP、UDP协议类型时,端口范围为1~65535。设置格式为1/200或80/80,且不能设置为-1/-1。
(可选)您可以在入方向规则页签底部单击添加IPv4规则或添加IPv6规则添加一条自定义的入方向IPv4或IPv6规则。
设置出方向规则
单击出方向规则页签,然后单击管理出方向规则。
根据以下信息配置出方向规则,然后单击确定。
配置
说明
优先级
出方向规则的生效顺序。
数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序。
规则名称
输入出方向规则的名称。
类型
当您创建IPv6类型的网络ACL规则后,出方向规则有以下类型:
云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。
自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。
系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。
当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。
说明您仅可以创建自定义的IPv4或IPv6出方向规则。
策略
选择出方向规则的授权策略:
允许:允许交换机中的ECS实例访问公网或私网。
拒绝:拒绝交换机中的ECS实例访问公网或私网。
协议类型
选择协议类型,支持以下类型:
ALL:所有协议。
ICMP:网络控制报文协议。
GRE:通用路由封装协议。
TCP:传输控制协议。
UDP:用户数据报协议。
ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。
IP网段类型
选择IP网段类型。取值:
IPv4。
IPv6。
目的地址
输入数据流的目的地址网段。
默认为0.0.0.0/32。
目的端口范围
输入出方向规则的目的端口范围。
端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。
(可选)您可以在出方向规则页签底部单击添加IPv4规则或添加IPv6规则添加一条自定义的出方向IPv4或IPv6规则。
快速添加多网段网络ACL规则
如果您需要对多个IP地址段进行统一的网络访问控制时,您可以使用快速添加多网段网络ACL功能,使用该功能可以简化业务配置并确保一致的安全策略。
- 登录专有网络管理控制台专有网络管理控制台。
- 在左侧导航栏,选择 。
- 在顶部菜单栏,选择网络ACL的地域。
- 在网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
在网络ACL基本信息区域,您可以快速添加多个网段的入方向规则或出方向规则。
快速添加入方向规则
单击入方向规则页签,然后单击管理入方向规则。
在页签底部单击快速添加规则,在快速添加对话框中,根据以下信息配置入方向规则,然后单击确定。
配置
说明
策略
选择入方向规则的授权策略:
允许:允许访问交换机中ECS实例。
拒绝:拒绝访问交换机中ECS实例。
IP地址
输入数据流的一个或多个源IPv4网段。
目的端口范围
选择入方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明,请参见典型应用。
端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。
优先级
选择生效顺序,指定自定义规则插入的位置。关于优先级的更多信息,请参见网络ACL概述。
例如,如果插入生效顺序为1的自定义规则后面,则需要输入增加在第1条后。
根据需要设置规则名称、协议类型(默认创建TCP协议类型的规则)等信息,然后单击确定。
快速添加出方向规则
单击出方向规则页签,然后单击管理出方向规则。
在页签底部单击快速添加规则,在快速添加对话框中,根据以下信息配置出方向规则,然后单击确定。
配置
说明
策略
选择出方向规则的授权策略:
允许:允许交换机中的ECS实例访问公网或私网。
拒绝:拒绝交换机中的ECS实例访问公网或私网。
IP地址
输入数据流的一个或多个目的IPv4网段。
目的端口范围
选择出方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明,请参见典型应用。
端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。
优先级
选择生效顺序,指定自定义规则插入的位置。关于优先级的更多信息,请参见网络ACL概述。
例如,如果插入生效顺序为1的自定义规则后面,则需要输入增加在第1条后。
根据需要设置规则名称、协议类型(默认创建TCP协议类型的规则)等信息,然后单击确定。
更多操作
- 登录专有网络管理控制台专有网络管理控制台。
- 在左侧导航栏,选择 。
- 在顶部菜单栏,选择网络ACL的地域。
在网络ACL页面,您可以根据需要进行如下操作。
配置
说明
调整规则顺序
网络ACL按照规则生效顺序执行规则,生效顺序的值越小,优先级越高。您可以为规则排序来指定规则执行的先后顺序。
找到目标网络ACL,单击网络ACL的实例ID。
在网络ACL基本信息页面,您可以调整入方向规则或出方向规则的顺序。
调整入方向规则顺序
单击入方向规则页签,然后单击管理入方向规则。
上下拖动规则,然后单击确定。
调整出方向规则顺序
单击出方向规则页签,然后单击管理出方向规则。
上下拖动规则,然后单击确定。
绑定网络ACL至交换机
将网络ACL绑定至交换机前,请确保满足以下条件:
您已经创建了网络ACL并添加了网络ACL规则。
交换机所属的VPC与要绑定的网络ACL所属的VPC相同。
找到目标网络ACL,然后在操作列单击关联交换机。
在已绑定资源页签下,单击关联交换机。
在关联交换机对话框,选择需要绑定的交换机,然后单击确定关联。
网络ACL仅允许绑定所属VPC内的交换机,且每个交换机仅允许绑定一个网络ACL。
解绑网络ACL与交换机
您可以解除网络ACL与交换机的绑定关系,解除后,网络ACL将不再管控交换机中的ECS实例的流量。
找到目标网络ACL,然后在操作列单击关联交换机。
在已绑定资源页签下,找到需要解绑网络ACL的交换机,在操作列单击解绑。
在解绑网络ACL对话框中,单击确定。
删除网络ACL
您可以删除网络ACL,删除前必须解绑网络ACL关联的交换机。
找到目标网络ACL,然后在操作列单击删除。
在删除网络ACL对话框中,单击确定。
相关文档
CreateNetworkAcl:创建网络ACL。
UpdateNetworkAclEntries:更新网络ACL规则。
AssociateNetworkAcl:绑定网络ACL至交换机。
UnassociateNetworkAcl:解除网络ACL与交换机的绑定。
DeleteNetworkAcl:删除网络ACL。