网络ACL

功能特性

• 网络ACL规则仅过滤绑定的交换机中ECS实例的流量（包括SLB实例转发给ECS实例的流量）。

  说明

  如果您的ECS实例绑定了辅助弹性网卡，且辅助弹性网卡绑定了设置网卡可见模式的EIP，那么网络ACL不过滤该ECS实例的流量。更多信息，请参见设置EIP网卡可见模式。

• 网络ACL的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。

• 网络ACL无任何规则时，会拒绝所有出入方向的访问。

• 网络ACL与交换机绑定，不过滤同一交换机内的ECS实例间的流量。

• 网络ACL放通的DNS服务器为100.100.2.128/28、100.100.2.112/28；放通的Metaserver（元数据服务器）为100.100.100.200/32。

规则说明

规则元素说明

网络ACL中的元素说明如下：

• 生效顺序：值越小，规则的优先级越高。系统从生效顺序为1的规则开始判断，只要有一条规则与流量匹配，即应用该规则，并忽略其他规则。

  例如，ECS实例请求访问目的地址为172.16.0.1的数据包，在经过如下表所示的ACL规则配置后，172.16.0.1匹配生效顺序2和生效顺序3规则中的目的地址，由于生效顺序2的优先级高于生效顺序3，所以会根据生效顺序2规则拒绝该请求。

  生效顺序	协议类型	目的地址	端口范围	策略	类型
  1	ALL	10.0.0.0/8	-1/-1	允许	自定义
  2	ALL	172.16.0.0/12	-1/-1	拒绝	自定义
  3	ALL	172.16.0.0/12	-1/-1	允许	自定义

• 策略：针对特定流量选择允许或拒绝。

• 协议类型：指定数据流的协议类型。

  协议类型包含协议名称与协议号，协议号由IANA为对应协议分配，以标识IP报文头部的协议类型。

  您可以在控制台，通过协议名称或协议号进行模糊搜索。以下为常见的协议类型。

  • ALL：所有协议。

  • ICMP(1)：网络控制报文协议。

  • GRE(47)：通用路由封装协议。

  • TCP(6)：传输控制协议。

  • UDP(17)：用户数据报协议。

  • ICMPv6(58)：IPv6网络控制报文协议。

• IP版本：流量类型，分为IPv4、IPv6。您需要结合协议类型支持的IP流量类型，选择满足需求的IP版本。

  说明

  网络ACL支持IPv6的地域，请参见支持的地域。

• 源地址（限入方向规则）：数据流的源地址。

• 目的地址（限出方向规则）：数据流的目的地址。

• 端口范围：流量的端口范围。

  • 选择TCP(6)/UDP(17)协议类型时，端口范围为1~65535。设置格式为起始端口/终止端口。

    • 例如，1/200用于控制1～200端口的流量，80/80用于控制80端口流量，即HTTP流量。

    • 不能设置为-1/-1。

    • 您可以查看典型应用，了解更多常用端口及其典型应用。

  • 选择其他协议类型时，端口范围无法设置，为-1/-1，表示不限制端口。

出方向和入方向规则

添加出方向规则和入方向规则前，您需要了解：

• 在网络ACL中添加或删除规则，更改规则后会自动应用到与其绑定的交换机。

• 在网络ACL中添加IPv6类型的出方向规则和入方向规则时，您需要为网络ACL所在的VPC分配IPv6网段。

• 当您配置了DHCP选项集时，您需要在网络ACL的出入方向规则中添加放行DNS域名服务器配置的IP地址。当未添加规则时，可能会造成DHCP选项集的业务异常。

默认创建的出方向和入方向规则会根据选择的地域有所不同。

• 选择的地域不支持IPv6网络ACL时，入方向和出方向默认创建1条规则。

  单击查看出方向和入方向规则

  • 入方向规则

    生效顺序	协议类型	源地址	端口范围	策略	类型
    1	ALL	0.0.0.0/0	-1/-1	允许	自定义

  • 出方向规则

    生效顺序	协议类型	目的地址	端口范围	策略	类型
    1	ALL	0.0.0.0/0	-1/-1	允许	自定义

• 除以上地域外的其他地域：

  • 如果ACL所属的VPC未启用IPv6能力，出入方向会默认创建5条规则，其中云服务路由是网络ACL放通的DNS服务器和Metaserver（元数据服务器）的地址。

    单击查看出方向和入方向规则

    • 入方向规则

      生效顺序	协议类型	源地址	端口范围	策略	类型
      *	ALL	100.100.2.128/28	0:65535	允许	云服务
      *	ALL	100.100.2.112/28	0:65535	允许	云服务
      *	ALL	100.100.100.200/32	0:65535	允许	云服务
      1	ALL	0.0.0.0/0	-1/-1	允许	自定义
      *	ALL	0.0.0.0/0	0:65535	拒绝	系统

    • 出方向规则

      生效顺序	协议类型	目的地址	端口范围	策略	类型
      *	ALL	100.100.2.128/28	0:65535	允许	云服务
      *	ALL	100.100.2.112/28	0:65535	允许	云服务
      *	ALL	100.100.100.200/32	0:65535	允许	云服务
      1	ALL	0.0.0.0/0	-1/-1	允许	自定义
      *	ALL	0.0.0.0/0	0:65535	拒绝	系统

  • 如果ACL所属的VPC开启IPv6能力，则入方向和出方向各添加一条系统默认拒绝和一条自定义全放通规则，因此会默认创建7条规则。

    单击查看出方向和入方向规则

    • 入方向规则

      生效顺序	协议类型	源地址	端口范围	策略	类型
      *	ALL	100.100.2.128/28	0:65535	允许	云服务
      *	ALL	100.100.2.112/28	0:65535	允许	云服务
      *	ALL	100.100.100.200/32	0:65535	允许	云服务
      1	ALL	0.0.0.0/0	-1/-1	允许	自定义
      2	ALL	::/0	-1/-1	允许	自定义
      *	ALL	0.0.0.0/0	0:65535	拒绝	系统
      *	ALL	::/0	0:65535	拒绝	系统

    • 出方向规则

      生效顺序	协议类型	目的地址	端口范围	策略	类型
      *	ALL	100.100.2.128/28	0:65535	允许	云服务
      *	ALL	100.100.2.112/28	0:65535	允许	云服务
      *	ALL	100.100.100.200/32	0:65535	允许	云服务
      1	ALL	0.0.0.0/0	-1/-1	允许	自定义
      2	ALL	::/0	-1/-1	允许	自定义
      *	ALL	0.0.0.0/0	0:65535	拒绝	系统
      *	ALL	::/0	0:65535	拒绝	系统

相关文档

• 您可以参考创建和管理网络ACL，使用网络ACL实现对VPC的访问控制。

• 您可以使用网络ACL限制不同交换机下的ECS间的互通或限制本地数据中心与云上的互通。