访问控制概述

智能接入网关SAG(Smart Access Gateway)提供访问控制功能,您可以通过访问控制功能,允许或者拒绝指定的流量通过,提高您网络的安全性。

功能说明

组成部分

访问控制基于访问控制规则匹配流量并对流量执行相关的授权策略。访问控制规则由匹配元素和授权策略两部分组成:

  • 匹配元素:访问控制规则支持通过规则方向、协议类型、源网段、源端口、目的网段、目的端口等元素匹配流量。

    SAG硬件实例和SAG App实例支持不同的匹配元素,关于SAG硬件实例和SAG App实例支持的匹配元素,请参见为SAG App实例添加访问控制规则为SAG硬件实例添加访问控制规则

  • 授权策略:指制定策略允许流量通过或拒绝流量通过。

匹配原则

一个访问控制实例包含一条或多条访问控制规则。流量默认按照访问控制规则的优先级,从高优先级的访问控制规则开始逐条进行匹配(访问控制规则优先级的数值越小,优先级越高),如果流量匹配到多个优先级相同的访问控制规则,则访问控制规则生效原则如下:

  • 授权策略为拒绝的访问控制规则优先生效。

  • 如果多个优先级相同的访问控制规则的授权策略也相同,则按照最长匹配原则,访问控制规则中源网段和目的网段与流量的源IP地址和目的IP地址最匹配的访问控制规则优先生效。

  • 如果多个优先级相同的访问控制规则的授权策略、源网段、目的网段也相同,则最先配置的访问控制规则优先生效。

在流量匹配到访问控制规则后,系统将按照该访问控制规则中的授权策略执行操作,即允许该流量通过或者拒绝该流量通过,同时该流量的匹配过程立即结束,不再匹配下一条访问控制规则。如果流量没有匹配到任何访问控制规则,那么系统允许该流量通过。

使用限制

  • 仅SAG硬件实例和SAG App实例支持访问控制功能。SAG App实例使用访问控制功能默认不开放,如需使用,请向客户经理申请。

  • 仅SAG硬件实例支持创建基于应用的访问控制规则。

  • 创建访问控制实例后,不支持修改访问控制实例的实例类型。

  • 访问控制功能的资源配额限制如下表所示:

    资源

    默认限制

    申请更多配额

    一个SAG硬件实例可关联的访问控制实例个数

    1

    无法调整

    一个SAG App实例可关联的访问控制实例个数

    1

    无法调整

    一个关联SAG硬件实例的访问控制实例可创建的访问控制规则个数

    50

    无法调整

    一个关联SAG App实例的访问控制实例可创建的访问控制规则个数

    50

    无法调整

    一个阿里云账号可创建的访问控制实例个数

    10

    无法调整

使用流程

访问控制使用流程

相关文档