日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎調研
輸入文檔關鍵字查找
首頁 專有網絡VPC 操作指南 訪問控制 網絡ACL 網絡ACL概述

網絡ACL概述

更新時間:
產品詳情
相關技術圈
我的收藏

網絡ACL(Network Access Control List)是專有網絡VPC中的網絡訪問控制功能。您可以自定義設置網絡ACL規則,并將網絡ACL與交換機綁定,實現對交換機中云服務器ECS實例流量的訪問控制。

image

功能發布及地域支持情況

IPv4網絡ACL支持的地域

公有云支持的地域

區域

支持IPv4網絡ACL的地域

亞太

華東1(杭州)華東2(上海)、華東5 (南京-本地地域、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)華南1(深圳)、華南2(河源)、華南3(廣州)西南1(成都)、中國香港、華中1(武漢-本地地域)華東6(福州-本地地域)、日本(東京)韓國(首爾)、新加坡、澳大利亞(悉尼)(關停中)、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)泰國(曼谷)

歐洲與美洲

德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞)

中東

阿聯酋(迪拜)、沙特(利雅得)

重要

沙特(利雅得)地域由合作伙伴運營。

金融云支持的地域

區域

支持IPv4類型網絡ACL的地域

亞太

華南1 金融云華東2 金融云、華北2 金融云(邀測)

政務云支持的地域

區域

支持IPv4類型網絡ACL的地域

亞太

華北2 阿里政務云1

IPv6網絡ACL支持的地域

區域

支持IPv6網絡ACL的地域

亞太

華東1(杭州)華東2(上海)、華北1(青島)、華北2(北京)華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南3(廣州)、西南1(成都)、中國香港、日本(東京)、韓國(首爾)、馬來西亞(吉隆坡)、印度尼西亞(雅加達)菲律賓(馬尼拉)泰國(曼谷)

歐洲與美洲

德國(法蘭克福)、美國(硅谷)、美國(弗吉尼亞)

中東

阿聯酋(迪拜)、沙特(利雅得)

重要

沙特(利雅得)地域由合作伙伴運營。

功能特性

  • 網絡ACL規則僅過濾綁定的交換機中ECS實例的流量(包括SLB實例轉發給ECS實例的流量)。

    說明

    如果您的ECS實例綁定了輔助彈性網卡,且輔助彈性網卡綁定了設置網卡可見模式的EIP,那么網絡ACL不過濾該ECS實例的流量。更多信息,請參見設置EIP網卡可見模式

  • 網絡ACL的規則是無狀態的,即設置入方向規則的允許請求后,需要同時設置相應的出方向規則,否則可能會導致請求無法響應。

  • 網絡ACL無任何規則時,會拒絕所有出入方向的訪問。

  • 網絡ACL與交換機綁定,不過濾同一交換機內的ECS實例間的流量。

  • 網絡ACL放通的DNS服務器為100.100.2.128/28、100.100.2.112/28;放通的Metaserver(元數據服務器)為100.100.100.200/32。

規則說明

規則元素說明

網絡ACL中的元素說明如下:

  • 生效順序:值越小,規則的優先級越高。系統從生效順序為1的規則開始判斷,只要有一條規則與流量匹配,即應用該規則,并忽略其他規則。

    例如,ECS實例請求訪問目的地址為172.16.0.1的數據包,在經過如下表所示的ACL規則配置后,172.16.0.1匹配生效順序2和生效順序3規則中的目的地址,由于生效順序2的優先級高于生效順序3,所以會根據生效順序2規則拒絕該請求。

    生效順序

    協議類型

    目的地址

    目的端口范圍

    策略

    類型

    1

    ALL

    10.0.0.0/8

    -1/-1

    允許

    自定義

    2

    ALL

    172.16.0.0/12

    -1/-1

    拒絕

    自定義

    3

    ALL

    172.16.0.0/12

    -1/-1

    允許

    自定義

  • 策略:針對特定流量選擇允許或拒絕。

  • 協議類型:指定數據流的協議類型,可選擇以下協議。

    • ALL:所有協議。當選擇所有協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。

    • ICMP:網絡控制報文協議。當選擇該協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。

    • GRE:通用路由封裝協議。當選擇該協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。

    • TCP:傳輸控制協議。當選擇該協議類型時,端口范圍為1~65535。設置格式為1/20080/80,且不能設置為-1/-1。

    • UDP:用戶數據報協議。端口范圍為1~65535。設置格式為1/20080/80,且不能設置為-1/-1。

    • ICMPv6:IPv6網絡控制報文協議。當選擇所有協議類型時,端口范圍無法設置,為-1/-1,表示不限制端口。

  • 源地址(限入方向規則):數據流的源地址。

  • 目的地址(限出方向規則):數據流的目的地址。

  • 目的端口范圍(限入方向規則):入方向規則作用的端口范圍。

  • 目的端口范圍(限出方向規則):出方向規則作用的端口范圍。

出方向和入方向規則

添加出方向規則和入方向規則前,您需要了解:

  • 在網絡ACL中添加或刪除規則,更改規則后會自動應用到與其綁定的交換機。

  • 在網絡ACL中添加IPv6類型的出方向規則和入方向規則時,您需要為網絡ACL所在的VPC分配IPv6網段。

  • 當您配置了DHCP選項集時,您需要在網絡ACL的出入方向規則中添加放行DNS域名服務器配置的IP地址。當未添加規則時,可能會造成DHCP選項集的業務異常。

默認創建的出方向和入方向規則會根據選擇的地域有所不同。

  • 選擇的地域不支持IPv6網絡ACL時,入方向和出方向默認創建1條規則。

    單擊查看出方向和入方向規則

    • 入方向規則

      生效順序

      協議類型

      源地址

      目的端口范圍

      策略

      類型

      1

      ALL

      0.0.0.0/0

      -1/-1

      允許

      自定義

    • 出方向規則

      生效順序

      協議類型

      目的地址

      目的端口范圍

      策略

      類型

      1

      ALL

      0.0.0.0/0

      -1/-1

      允許

      自定義

  • 除以上地域外的其他地域:

    • 如果ACL所屬的VPC未啟用IPv6能力,出入方向會默認創建5條規則,其中云服務路由是網絡ACL放通的DNS服務器和Metaserver(元數據服務器)的地址。

      單擊查看出方向和入方向規則

      • 入方向規則

        生效順序

        協議類型

        源地址

        目的端口范圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        云服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自定義

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

      • 出方向規則

        生效順序

        協議類型

        目的地址

        目的端口范圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        云服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自定義

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

    • 如果ACL所屬的VPC開啟IPv6能力,則入方向和出方向各添加一條系統默認拒絕和一條自定義全放通規則,因此會默認創建7條規則。

      單擊查看出方向和入方向規則

      • 入方向規則

        生效順序

        協議類型

        源地址

        目的端口范圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        云服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自定義

        2

        ALL

        ::/0

        -1/-1

        允許

        自定義

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

        *

        ALL

        ::/0

        0:65535

        拒絕

        系統

      • 出方向規則

        生效順序

        協議類型

        目的地址

        目的端口范圍

        策略

        類型

        *

        ALL

        100.100.2.128/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.2.112/28

        0:65535

        允許

        云服務

        *

        ALL

        100.100.100.200/32

        0:65535

        允許

        云服務

        1

        ALL

        0.0.0.0/0

        -1/-1

        允許

        自定義

        2

        ALL

        ::/0

        -1/-1

        允許

        自定義

        *

        ALL

        0.0.0.0/0

        0:65535

        拒絕

        系統

        *

        ALL

        ::/0

        0:65535

        拒絕

        系統

網絡ACL與安全組

與交換機綁定的網絡ACL規則控制流入和流出交換機的數據流,與ECS實例相關的安全組規則控制流入和流出ECS實例的數據流。網絡ACL和安全組的基本差異如下表所示。

對比項

網絡ACL

安全組

運行范圍

在交換機級別運行。

在ECS實例級別運行。

返回數據流狀態

無狀態:返回數據流必須被規則明確允許。

有狀態:返回數據流會被自動允許,不受任何規則的影響。

是否評估規則

不評估所有規則,按照規則的生效順序處理所有規則。

執行規則前,會評估所有規則。

與ECS實例的關聯關系

ECS實例所屬的交換機僅允許綁定一個網絡ACL。

一個ECS實例可加入多個安全組。

網絡ACL和安全組提供的安全層如下圖所示。

image

使用限制

配額名稱

描述

默認限制

提升配額

vpc_quota_nacl_ingress_entry

單個網絡ACL支持創建的入方向規則數量

20條

您可以通過以下任意方式自助提升配額:

vpc_quota_nacl_egress_entry

單個網絡ACL支持創建的出方向規則數量

20條

nacl_quota_vpc_create_count

單個VPC支持創建的網絡ACL數量

20個

使用流程

image

具體操作,請參見創建和管理網絡ACL