欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 教育 > 培训 > [专有网络VPC]创建和管理网络ACL

[专有网络VPC]创建和管理网络ACL

2025/5/1 21:49:54 来源:https://blog.csdn.net/2401_88127808/article/details/143189613  浏览:    关键词:[专有网络VPC]创建和管理网络ACL

在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中的网络实例流量的访问控制。

前提条件

  • 您已经创建了专有网络VPC和交换机。

  • 当您创建IPv6类型的网络ACL规则时,您需要为VPC开通IPv6网段。

注意事项

IPv4和IPv6自定义规则最多可分别配置20条规则,如需提升配额,请您前往配额中心申请。

创建网络ACL

  1. 登录专有网络管理控制台。
  2. 在左侧导航栏,选择访问控制 > 网络ACL

  3. 在顶部菜单栏处,选择要创建网络ACL的地域。在网络ACL页面,单击创建网络ACL

  4. 创建网络ACL对话框,配置以下信息,其他参数可保持默认值或根据实际情况修改。

    配置

    说明

    所属专有网络

    选择网络ACL所属的专有网络。

    说明

    要关联的专有网络的地域必须与网络ACL的地域相同。

添加网络ACL规则

创建网络ACL后,您可以为网络ACL添加入方向规则,管控公网或私网对交换机中ECS实例的访问。您也可以为网络ACL添加出方向规则,管控交换机中的ECS实例对公网或私网的访问。

重要

网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。

  1. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。

  2. 网络ACL基本信息区域,您可以设置入方向规则或出方向规则。

    • 设置入方向规则

      1. 单击入方向规则页签,然后单击管理入方向规则

      2. 根据以下信息配置入方向规则,然后单击确定

        配置

        说明

        优先级

        入方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序。

        规则名称

        输入入方向规则的名称。

        类型

        当您创建IPv6类型的网络ACL规则后,入方向规则有以下类型:

        • 云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。

        • 自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。

        • 系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。

        当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。

        说明

        您只能创建自定义的IPv4或IPv6入方向规则。

        策略

        选择入方向规则的授权策略:

        • 允许:允许访问交换机中ECS实例。

        • 拒绝:拒绝访问交换机中ECS实例。

        协议类型

        选择协议类型,支持以下类型:

        • ALL:所有协议。

        • ICMP:网络控制报文协议。

        • GRE:通用路由封装协议。

        • TCP:传输控制协议。

        • UDP:用户数据报协议。

        • ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。

        IP网段类型

        选择IP网段类型。取值:

        • IPv4

        • IPv6

        源地址

        设置数据流的源地址网段。

        默认为0.0.0.0/0。

        目的端口范围

        输入入方向规则的目的端口范围。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

        当选择ALLICMPGRE协议类型时,端口范围无法设置,为-1/-1;当选择TCPUDP协议类型时,端口范围为1~65535。设置格式为1/200或80/80,且不能设置为-1/-1

      3. (可选)您可以在入方向规则页签底部单击添加IPv4规则添加IPv6规则添加一条自定义的入方向IPv4或IPv6规则。

    • 设置出方向规则

      1. 单击出方向规则页签,然后单击管理出方向规则

      2. 根据以下信息配置出方向规则,然后单击确定

        配置

        说明

        优先级

        出方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序。

        规则名称

        输入出方向规则的名称。

        类型

        当您创建IPv6类型的网络ACL规则后,出方向规则有以下类型:

        • 云服务:系统默认创建3条接受的云服务规则,优先级固定最高且不能修改或删除。

        • 自定义:系统默认创建2条全放通的自定义规则,您可以选择删除或修改这两条自定义规则。

        • 系统:默认创建2条全拒绝的系统规则,优先级固定最低且不能修改或删除。

        当您创建仅支持IPv4类型的网络ACL规则后,系统默认创建一条IPv4类型的全放通自定义规则。

        说明

        您仅可以创建自定义的IPv4或IPv6出方向规则。

        策略

        选择出方向规则的授权策略:

        • 允许:允许交换机中的ECS实例访问公网或私网。

        • 拒绝:拒绝交换机中的ECS实例访问公网或私网。

        协议类型

        选择协议类型,支持以下类型:

        • ALL:所有协议。

        • ICMP:网络控制报文协议。

        • GRE:通用路由封装协议。

        • TCP:传输控制协议。

        • UDP:用户数据报协议。

        • ICMPv6:IPv6网络控制报文协议。仅支持选择IPv6网段类型。

        IP网段类型

        选择IP网段类型。取值:

        • IPv4

        • IPv6

        目的地址

        输入数据流的目的地址网段。

        默认为0.0.0.0/32。

        目的端口范围

        输入出方向规则的目的端口范围。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

      3. (可选)您可以在出方向规则页签底部单击添加IPv4规则添加IPv6规则添加一条自定义的出方向IPv4或IPv6规则。

快速添加多网段网络ACL规则

如果您需要对多个IP地址段进行统一的网络访问控制时,您可以使用快速添加多网段网络ACL功能,使用该功能可以简化业务配置并确保一致的安全策略。

  1. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。

  2. 网络ACL基本信息区域,您可以快速添加多个网段的入方向规则或出方向规则。

    • 快速添加入方向规则

      1. 单击入方向规则页签,然后单击管理入方向规则

      2. 在页签底部单击快速添加规则,在快速添加对话框中,根据以下信息配置入方向规则,然后单击确定

        配置

        说明

        策略

        选择入方向规则的授权策略:

        • 允许:允许访问交换机中ECS实例。

        • 拒绝:拒绝访问交换机中ECS实例。

        IP地址

        输入数据流的一个或多个源IPv4网段。

        目的端口范围

        选择入方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明,请参见典型应用。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

        优先级

        选择生效顺序,指定自定义规则插入的位置。关于优先级的更多信息,请参见网络ACL概述。

        例如,如果插入生效顺序为1的自定义规则后面,则需要输入增加在第1条后

      3. 根据需要设置规则名称、协议类型(默认创建TCP协议类型的规则)等信息,然后单击确定

    • 快速添加出方向规则

      1. 单击出方向规则页签,然后单击管理出方向规则

      2. 在页签底部单击快速添加规则,在快速添加对话框中,根据以下信息配置出方向规则,然后单击确定

        配置

        说明

        策略

        选择出方向规则的授权策略:

        • 允许:允许交换机中的ECS实例访问公网或私网。

        • 拒绝:拒绝交换机中的ECS实例访问公网或私网。

        IP地址

        输入数据流的一个或多个目的IPv4网段。

        目的端口范围

        选择出方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明,请参见典型应用。

        端口范围为1~65535。使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

        优先级

        选择生效顺序,指定自定义规则插入的位置。关于优先级的更多信息,请参见网络ACL概述。

        例如,如果插入生效顺序为1的自定义规则后面,则需要输入增加在第1条后

      3. 根据需要设置规则名称、协议类型(默认创建TCP协议类型的规则)等信息,然后单击确定

更多操作

  1. 登录专有网络管理控制台。
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。

  4. 网络ACL页面,您可以根据需要进行如下操作。

    配置

    说明

    调整规则顺序

    网络ACL按照规则生效顺序执行规则,生效顺序的值越小,优先级越高。您可以为规则排序来指定规则执行的先后顺序。

    1. 找到目标网络ACL,单击网络ACL的实例ID。

    2. 网络ACL基本信息页面,您可以调整入方向规则或出方向规则的顺序。

      • 调整入方向规则顺序

        1. 单击入方向规则页签,然后单击管理入方向规则

        2. 上下拖动规则,然后单击确定

      • 调整出方向规则顺序

        1. 单击出方向规则页签,然后单击管理出方向规则

        2. 上下拖动规则,然后单击确定

    绑定网络ACL至交换机

    将网络ACL绑定至交换机前,请确保满足以下条件:

    • 您已经创建了网络ACL并添加了网络ACL规则。

    • 交换机所属的VPC与要绑定的网络ACL所属的VPC相同。

    1. 找到目标网络ACL,然后在操作列单击关联交换机

    2. 已绑定资源页签下,单击关联交换机

    3. 关联交换机对话框,选择需要绑定的交换机,然后单击确定关联

      网络ACL仅允许绑定所属VPC内的交换机,且每个交换机仅允许绑定一个网络ACL。

    解绑网络ACL与交换机

    您可以解除网络ACL与交换机的绑定关系,解除后,网络ACL将不再管控交换机中的ECS实例的流量。

    1. 找到目标网络ACL,然后在操作列单击关联交换机

    2. 已绑定资源页签下,找到需要解绑网络ACL的交换机,在操作列单击解绑

    3. 解绑网络ACL对话框中,单击确定

    删除网络ACL

    您可以删除网络ACL,删除前必须解绑网络ACL关联的交换机。

    1. 找到目标网络ACL,然后在操作列单击删除

    2. 删除网络ACL对话框中,单击确定

如果您了解ECS实例的常用端口,您可以更准确的添加网络ACL(Network Access Control List)规则。本文为您介绍ECS实例常用端口及常用端口的典型应用。

常用端口列表

常用端口及服务如下表所示。

端口服务说明
21FTPFTP服务所开放的端口,用于上传、下载文件。
22SSHSSH端口,用于通过命令行模式使用用户名密码验证连接Linux实例。
23TelnetTelnet端口,用于Telnet远程登录ECS实例。
25SMTPSMTP服务所开放的端口,用于发送邮件。
80HTTP用于HTTP服务提供访问功能,例如,IIS、Apache、Nginx等服务。
110POP3用于POP3协议,POP3是电子邮件接收的协议。
143IMAP用于IMAP(Internet Message Access Protocol)协议,IMAP是用于接收电子邮件的协议。
443HTTPS用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。
1433SQL ServerSQL Server的TCP端口,用于供SQL Server对外提供服务。
1434SQL ServerSQL Server的UDP端口,用于返回SQL Server使用了哪个TCP/IP端口。
1521OracleOracle通信端口,ECS实例上部署了Oracle SQL需要放行的端口。
3306MySQLMySQL数据库对外提供服务的端口。
3389Windows Server Remote Desktop ServicesWindows Server Remote Desktop Services(远程桌面服务)端口,可以通过这个端口使用软件连接Windows实例。
8080代理端口同80端口,8080端口常用于WWW代理服务,实现网页浏览。

自定义网络ACL

入方向规则和出方向规则显示了一个仅支持IPv4的VPC的网络ACL示例。其中:

  • 生效顺序1、2、3、4的入方向规则分别为允许HTTP、HTTPS、SSH、RDP数据流进入交换机的规则,出方向响应规则为生效顺序3的出方向规则。
  • 生效顺序1、2的出方向规则分别为允许HTTP和HTTPS流量离开交换机的规则,入方向响应规则为生效顺序5的入方向规则。
  • 生效顺序6的入方向规则为拒绝所有入方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。
  • 生效顺序4的出方向规则为拒绝所有出方向IPv4流量,该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。

说明

无论是入方向规则还是出方向规则,请确保每一条规则都存在允许响应流量的相应入方向或出方向规则。

表 1. 入方向规则
生效顺序协议类型源地址目的端口范围策略说明
1tcp0.0.0.0/080/80允许允许来自任意IPv4地址的HTTP流量。
2tcp0.0.0.0/0443/443允许允许来自任意IPv4地址的HTTPS流量。
3tcp0.0.0.0/022/22允许允许来自任意IPv4地址的SSH流量。
4tcp0.0.0.0/03389/3389允许允许来自任意IPv4地址的RDP流量。
5tcp0.0.0.0/032768/65535允许允许来自任意IPv4的地址访问端口范围为32768~65535的TCP流量。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口。

6all0.0.0.0/0-1/-1拒绝拒绝所有入方向IPv4流量。
表 2. 出方向规则
生效顺序协议类型目标地址目的端口范围策略说明
1tcp0.0.0.0/080/80允许允许出方向IPv4 HTTP流量从交换机流向互联网。
2tcp0.0.0.0/0443/443允许允许出方向IPv4 HTTPS流量从交换机流向互联网。
3tcp0.0.0.0/032768/65535允许允许对互联网客户端的出站IPv4响应。

此端口范围仅为示例。有关如何选择适当的临时端口的更多信息,请参见临时端口。

4all0.0.0.0/0-1/-1拒绝拒绝所有出方向IPv4流量。

负载均衡的网络ACL

绑定网络ACL的交换机中的ECS作为负载均衡SLB的后端服务器时,您需要添加如下网络ACL规则。

  • 入方向规则
    生效顺序协议类型源地址目的端口范围策略说明
    1SLB监听协议允许接入SLB的客户端IPSLB监听端口允许在SLB监听端口上允许来自指定客户端IP的入方向流量。
    2健康检查协议100.64.0.0/10健康检查端口允许在健康检查端口上允许来自健康检查地址的入方向流量。
  • 出方向规则
    生效顺序协议类型目标地址目的端口范围策略说明
    1all允许接入SLB的客户端IP-1/-1允许允许所有流向指定客户端IP的出方向流量。
    2all100.64.0.0/10-1/-1允许允许所有流向健康检查地址的出方向流量。

临时端口

不同类型的客户端发起请求时使用的端口不同,您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。

客户端端口范围
Linux32768/61000
Windows Server 20031025/5000
Windows Server 2008及更高版本49152/65535
NAT网关1024/65535

 

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

相关资讯

热文排行

最新新闻

推荐新闻

热搜词