使用专有网络VPC访问控制功能

使用网络ACL功能

网络ACL是专有网络VPC中的网络访问控制功能。您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后，您可以将网络ACL与交换机绑定，实现对交换机中ECS实例流量的访问控制。

配置网络ACL

网络ACL可以通过以下方式进行配置：

• 登录专有网络控制台：关于如何通过专有网络控制台配置网络ACL，请参见使用网络ACL。

• 调用相关API：您可以通过调用以下API配置网络ACL。

  • CreateNetworkAcl：创建网络ACL。

  • AssociateNetworkAcl：绑定网络ACL至交换机。

  • ModifyNetworkAclAttributes：修改网络ACL的属性。

  • DescribeNetworkAcls：查看网络ACL的列表信息。

  • UpdateNetworkAclEntries：更新网络ACL规则。

  • DescribeNetworkAclAttributes：查询网络ACL的详细信息。

  • UnassociateNetworkAcl：解除网络ACL与交换机的绑定。

  • CopyNetworkAclEntries：复制网络ACL规则。

  • DeleteNetworkAcl：删除网络ACL。

• 通过阿里云SDK设置ACL：您可以通过阿里云SDK配置网络ACL规则，阿里云SDK提供Java、Python、PHP等多种编程语言的SDK。

• 通过CLI命令设置ACL：您可以通过命令行工具CLI配置网络ACL。关于CLI的更多信息，请参见什么是阿里云CLI？。

网络ACL应用

您可以通过网络ACL的功能特性和规则说明来自定义网络ACL的入方向和出方向规则。设置了网络ACL的入方向和出方向规则后，您可以更灵活的控制专有网络VPC内云资源的入方向和出方向的流量。更多信息，请参见网络ACL概述和典型应用。

网络ACL使用实例

您可以通过网络ACL功能限制不同交换机下ECS实例或者限制本地数据中心与云上的互通。具体操作，请参见限制不同交换机下的ECS间的互通和限制本地数据中心与云上的互通。

使用安全组功能

安全组是一种虚拟防火墙，用于控制安全组内ECS实例的入流量和出流量，从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力，您可以基于安全组的特性和安全组规则的配置在云端划分安全域。

安全组和安全组规则

安全组分为普通安全组和企业安全组。企业安全组面向企业级场景，可以容纳更多的实例、弹性网卡和私网IP，而且访问策略更加严格。

• 实例加入安全组的规则如下：实例至少加入一个安全组，可以同时加入多个安全组。实例上挂载的弹性网卡中，辅助网卡可以加入和实例不同的安全组。实例不支持同时加入普通安全组和企业安全组。

• 安全组在未添加安全组规则时，自身已经具有控制出入流量的一些特性。在这些特性基础上，您可以继续新增、修改安全组规则更精细地控制出入流量。新增、修改安全组规则后，会自动应用于安全组内所有实例。安全组规则支持针对IP地址、CIDR地址块、其他安全组、前缀列表授权。更多信息，请参见添加安全组规则。

• 在控制台创建安全组时，系统会自动添加默认规则，您可以根据需要维护这些规则。

安全组使用指导

使用安全组控制实例流量的典型使用流程如下：

1. 创建安全组。

2. 添加安全组规则。

3. 将实例加入安全组。

4. 按需管理已有安全组和安全组规则。

使用安全组控制辅助网卡流量的典型使用流程如下：

1. 创建安全组。

2. 添加安全组规则。

3. 将辅助网卡加入安全组。

4. 将辅助网卡绑定至实例。

5. 按需管理已有安全组和安全组规则。

关于安全组的具体操作和应用案例，请参见创建安全组和安全组应用案例。

安全组配置案例

当您创建VPC类型的ECS实例时，可以使用系统提供的默认安全组规则，也可以选择VPC中已有的其他安全组。关于安全组配置案例，请参见ECS安全组配置案例。