本文档为您详细介绍了阿里云边缘节点服务中网络ACL(Access Control List)的功能特性、使用限制、管理操作及规则配置。网络ACL是一种为ENS VPC提供网络层流量控制的免费安全服务,通过设置入方向和出方向规则,可实现子网级别的无状态访问控制。
注意事项
网络ACL当前仅支持绑定网络VPC,暂不支持与交换机绑定。
网络ACL作用于所绑定VPC下的所有计算实例、弹性网卡实例。
网络ACL目前不计费,您可免费使用。
管理网络ACL
使用限制
单个VPC最多创建一个网络ACL。
当前仅支持IPv4。
创建网络ACL
绑定网络ACL
单击左侧导航栏中的
。在网络详情页,单击目标网络操作下的
并单击选择绑定ACL,勾选目标网络ACL,单击确定。
查询已绑定网络ACL的实例
在左侧导航栏,单击
。单击目标网络ACL或在右侧操作中单击管理,选择已绑定资源即可查看已绑定的实例。
删除网络ACL
当您的网络ACL仍绑定资源时无法删除,请您确保目标网络ACL的所绑定的资源已全部解绑。
在左侧导航栏,单击
。单击目标网络ACL右侧操作中的释放,即可删除目标网络ACL。
网络ACL规则
管理网络ACL规则
在左侧导航栏,单击
。单击目标网络ACL或在右侧操作中单击管理,即可完成规则的创建、删除及编辑操作。
说明创建、删除和更新均支持批量操作。批量操作之后,会弹窗显示本次批量修改内容供您确认,单条操作无需确认。
入方向规则
单方向支持创建至多20条规则。
新建ACL会默认创建两条入方向规则。
源:
100.64.0.0/10
规则用于内部云服务,不建议删除,删除后无法访问内部云服务。源:
0.0.0.0/0
规则会放开入方向流量,若删除将会影响您的网络连通性。
出方向规则
单方向支持创建至多20条规则。
新建ACL会默认创建一条出方向规则。
源:
0.0.0.0/0
规则放开出方向流量,若删除会影响网络连通性。
规则生效机制
每条规则有优先级,优先级可选范围为1-100,默认值为1,即最高优先级。系统按需根据协议类型、源/目的地址以及端口范围,依次判断与流量是否匹配。流量匹配到首条规则后,执行指定的允许或拒绝策略。
说明当有多条同优先级规则的时候,拒绝规则优先生效。
网络ACL规则有无状态视具体协议而定,详情参考下表:
说明新建网络ACL时会自动生成允许所有流量的出入站规则,因此下表所述基于您已删除这些默认规则。
协议
入向
出向
UDP
配置入向放行,出方向响应需要配置放行规则。
配置出向放行,入方向响应无需配置放行规则。
TCP
有状态,无需针对响应方向配置放行规则。
ICMP
无状态,需要针对响应方向分别配置放行规则。