网络ACL

本文档为您详细介绍了阿里云边缘节点服务中网络ACL(Access Control List)的功能特性、使用限制、管理操作及规则配置。网络ACL是一种为ENS VPC提供网络层流量控制的免费安全服务,通过设置入方向和出方向规则,可实现子网级别的无状态访问控制。

注意事项

  • 网络ACL当前仅支持绑定网络VPC,暂不支持与交换机绑定。

  • 网络ACL作用于所绑定VPC下的所有计算实例、弹性网卡实例。

  • 网络ACL目前不计费,您可免费使用。

管理网络ACL

使用限制

  • 单个VPC最多创建一个网络ACL。

  • 当前仅支持IPv4。

创建网络ACL

  1. 登录ENS控制台

  2. 在左侧导航栏,单击网络管理 > 网络ACL

    image

  3. 网络ACL页面,单击创建网络ACL。填写相关信息并单击创建。

    说明

    您可在创建网络ACL时参考网络ACL规则来配置自定义规则。

绑定网络ACL

  1. 单击左侧导航栏中的网络管理 > 网络

  2. 网络详情页,单击目标网络操作下的image并单击选择绑定ACL,勾选目标网络ACL,单击确定

查询已绑定网络ACL的实例

  1. 在左侧导航栏,单击网络管理 > 网络ACL

  2. 单击目标网络ACL或在右侧操作中单击管理,选择已绑定资源即可查看已绑定的实例。

删除网络ACL

说明

当您的网络ACL仍绑定资源时无法删除,请您确保目标网络ACL的所绑定的资源已全部解绑。

  1. 在左侧导航栏,单击网络管理 > 网络ACL

  2. 单击目标网络ACL右侧操作中的释放,即可删除目标网络ACL。

网络ACL规则

管理网络ACL规则

  1. 在左侧导航栏,单击网络管理 > 网络ACL

  2. 单击目标网络ACL或在右侧操作中单击管理,即可完成规则的创建删除编辑操作。

    说明

    创建、删除和更新均支持批量操作。批量操作之后,会弹窗显示本次批量修改内容供您确认,单条操作无需确认。

入方向规则

  • 单方向支持创建至多20条规则。

  • 新建ACL会默认创建两条入方向规则。

    • 源:100.64.0.0/10 规则用于内部云服务,不建议删除,删除后无法访问内部云服务。

    • 源:0.0.0.0/0规则会放开入方向流量,若删除将会影响您的网络连通性。

出方向规则

  • 单方向支持创建至多20条规则。

  • 新建ACL会默认创建一条出方向规则。

    • 源:0.0.0.0/0规则放开出方向流量,若删除会影响网络连通性。

规则生效机制

  • 每条规则有优先级,优先级可选范围为1-100,默认值为1,即最高优先级。系统按需根据协议类型、源/目的地址以及端口范围,依次判断与流量是否匹配。流量匹配到首条规则后,执行指定的允许或拒绝策略。

    说明

    当有多条同优先级规则的时候,拒绝规则优先生效。

  • 网络ACL规则有无状态视具体协议而定,详情参考下表:

    说明

    新建网络ACL时会自动生成允许所有流量的出入站规则,因此下表所述基于您已删除这些默认规则。

    协议

    入向

    出向

    UDP

    配置入向放行,出方向响应需要配置放行规则。

    配置出向放行,入方向响应无需配置放行规则。

    TCP

    有状态,无需针对响应方向配置放行规则。

    ICMP

    无状态,需要针对响应方向分别配置放行规则。

相关API