文档

创建和管理网络ACL

更新时间:
一键部署

您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中的网络实例流量的访问控制。

前提条件

注意事项

IPv4和IPv6自定义规则最多可分别配置20条规则,如需提升配额,请您前往配额中心申请。

创建网络ACL

  1. 登录专有网络管理控制台专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏处,选择要创建网络ACL的地域。

  4. 网络ACL页面,单击创建网络ACL

  5. 创建网络ACL对话框,根据以下信息配置网络ACL,然后单击确定

    配置

    说明

    资源组

    选择ACL所属的资源组。

    标签键

    选择或输入完整的标签键。最多支持输入20个标签键。

    标签键最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    标签值

    选择或输入完整的标签值。最多支持输入20个标签值。

    标签值最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    所属专有网络

    选择网络ACL所属的专有网络。

    说明
    • 要关联的专有网络的地域必须与网络ACL的地域相同。

    • 网络ACL属于VPC高级功能。当所属VPC不支持该高级功能(不支持创建网络ACL)时,您需要联系阿里云工程师处理。

    名称

    输入网络ACL的名称。

    描述

    输入网络ACL的描述。

添加网络ACL规则

创建网络ACL后,您可以为网络ACL添加入方向规则,管控公网或私网对交换机中ECS实例的访问。您也可以为网络ACL添加出方向规则,管控交换机中的ECS实例对公网或私网的访问。

重要

网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。

  1. 登录专有网络管理控制台专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息区域,您可以设置入方向规则或出方向规则。

    • 设置入方向规则

      1. 单击入方向规则页签,然后单击管理入方向规则

      2. 根据以下信息配置入方向规则,然后单击确定

        配置

        说明

        优先级

        入方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序

        规则名称

        输入入方向规则的名称。

        类型

        当您创建IPv6类型的网络ACL规则后,入方向规则有以下类型:

        • 云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。

        • 自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。

        • 系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。

        当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。

        说明

        您只能创建自定义的IPv4或IPv6入方向规则。

        策略

        选择入方向规则的授权策略:

        • 允许:允许访问交换机中ECS实例。

        • 拒绝:拒绝访问交换机中ECS实例。

        协议类型

        选择协议类型,支持以下类型:

        • ALL:所有协议。

        • ICMP:网络控制报文协议。

        • GRE:通用路由封装协议。

        • TCP:传输控制协议。

        • UDP:用户数据报协议。

        • ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。

        IP网段类型

        选择IP网段类型。取值:

        • IPv4

        • IPv6

        源地址

        设置数据流的源地址网段。

        默认为0.0.0.0/0

        目的端口范围

        输入入方向规则的目的端口范围。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/20080/80,其中-1/-1不能单独设置,代表不限制端口。

        当选择ALLICMPGRE协议类型时,端口范围无法设置,为-1/-1;当选择TCPUDP协议类型时,端口范围为1~65535。设置格式为1/20080/80,且不能设置为-1/-1

      3. (可选)您可以在入方向规则页签底部单击添加IPv4规则添加IPv6规则添加一条自定义的入方向IPv4或IPv6规则。

    • 设置出方向规则

      1. 单击出方向规则页签,然后单击管理出方向规则

      2. 根据以下信息配置出方向规则,然后单击确定

        配置

        说明

        优先级

        出方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序

        规则名称

        输入出方向规则的名称。

        类型

        当您创建IPv6类型的网络ACL规则后,出方向规则有以下类型:

        • 云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。

        • 自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。

        • 系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。

        当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。

        说明

        您仅可以创建自定义的IPv4或IPv6出方向规则。

        策略

        选择出方向规则的授权策略:

        • 允许:允许交换机中的ECS实例访问公网或私网。

        • 拒绝:拒绝交换机中的ECS实例访问公网或私网。

        协议类型

        选择协议类型,支持以下类型:

        • ALL:所有协议。

        • ICMP:网络控制报文协议。

        • GRE:通用路由封装协议。

        • TCP:传输控制协议。

        • UDP:用户数据报协议。

        • ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。

        IP网段类型

        选择IP网段类型。取值:

        • IPv4

        • IPv6

        目的地址

        输入数据流的目的地址网段。

        默认为0.0.0.0/32

        目的端口范围

        输入出方向规则的目的端口范围。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/20080/80,其中-1/-1不能单独设置,代表不限制端口。

      3. (可选)您可以在出方向规则页签底部单击添加IPv4规则添加IPv6规则添加一条自定义的出方向IPv4或IPv6规则。

快速添加多网段网络ACL规则

如果您需要对多个IP地址段进行统一的网络访问控制时,您可以使用快速添加多网段网络ACL功能,使用该功能可以简化业务配置并确保一致的安全策略。

  1. 登录专有网络管理控制台专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息区域,您可以快速添加多个网段的入方向规则或出方向规则。

    • 快速添加入方向规则

      1. 单击入方向规则页签,然后单击管理入方向规则

      2. 在页签底部单击快速添加规则,在快速添加对话框中,根据以下信息配置入方向规则,然后单击确定

        配置

        说明

        策略

        选择入方向规则的授权策略:

        • 允许:允许访问交换机中ECS实例。

        • 拒绝:拒绝访问交换机中ECS实例。

        IP地址

        输入数据流的一个或多个源IPv4网段。

        目的端口范围

        选择入方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明,请参见典型应用

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/20080/80,其中-1/-1不能单独设置,代表不限制端口。

        优先级

        选择生效顺序,指定自定义规则插入的位置。关于优先级的更多信息,请参见网络ACL概述

        例如,如果插入生效顺序为1的自定义规则后面,则需要输入增加在第1条后

      3. 根据需要设置规则名称、协议类型(默认创建TCP协议类型的规则)等信息,然后单击确定

    • 快速添加出方向规则

      1. 单击出方向规则页签,然后单击管理出方向规则

      2. 在页签底部单击快速添加规则,在快速添加对话框中,根据以下信息配置出方向规则,然后单击确定

        配置

        说明

        策略

        选择出方向规则的授权策略:

        • 允许:允许交换机中的ECS实例访问公网或私网。

        • 拒绝:拒绝交换机中的ECS实例访问公网或私网。

        IP地址

        输入数据流的一个或多个目的IPv4网段。

        目的端口范围

        选择出方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明,请参见典型应用

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/20080/80,其中-1/-1不能单独设置,代表不限制端口。

        优先级

        选择生效顺序,指定自定义规则插入的位置。关于优先级的更多信息,请参见网络ACL概述

        例如,如果插入生效顺序为1的自定义规则后面,则需要输入增加在第1条后

      3. 根据需要设置规则名称、协议类型(默认创建TCP协议类型的规则)等信息,然后单击确定

更多操作

  1. 登录专有网络管理控制台专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,您可以根据需要进行如下操作。

    配置

    说明

    调整规则顺序

    网络ACL按照规则生效顺序执行规则,生效顺序的值越小,优先级越高。您可以为规则排序来指定规则执行的先后顺序。

    1. 找到目标网络ACL,单击网络ACL的实例ID。

    2. 网络ACL基本信息页面,您可以调整入方向规则或出方向规则的顺序。

      • 调整入方向规则顺序

        1. 单击入方向规则页签,然后单击管理入方向规则

        2. 上下拖动规则,然后单击确定

      • 调整出方向规则顺序

        1. 单击出方向规则页签,然后单击管理出方向规则

        2. 上下拖动规则,然后单击确定

    绑定网络ACL至交换机

    将网络ACL绑定至交换机前,请确保满足以下条件:

    • 您已经创建了网络ACL并添加了网络ACL规则。

    • 交换机所属的VPC与要绑定的网络ACL所属的VPC相同。

    1. 找到目标网络ACL,然后在操作列单击关联交换机

    2. 已绑定资源页签下,单击关联交换机

    3. 关联交换机对话框,选择需要绑定的交换机,然后单击确定关联

      网络ACL仅允许绑定所属VPC内的交换机,且每个交换机仅允许绑定一个网络ACL。

    解绑网络ACL与交换机

    您可以解除网络ACL与交换机的绑定关系,解除后,网络ACL将不再管控交换机中的ECS实例的流量。

    1. 找到目标网络ACL,然后在操作列单击关联交换机

    2. 已绑定资源页签下,找到需要解绑网络ACL的交换机,在操作列单击解绑

    3. 解绑网络ACL对话框中,单击确定

    删除网络ACL

    您可以删除网络ACL,删除前必须解绑网络ACL关联的交换机。

    1. 找到目标网络ACL,然后在操作列单击删除

    2. 删除网络ACL对话框中,单击确定

相关文档