资讯专栏INFORMATION COLUMN

【私有网络 UVPC】网络ACL简介,ACL规划已经操作指南

Tecode / 2502人阅读

摘要:关联子网创建网络后,用户可将该与所属下的任意子网进行绑定和解绑。支持子网内全部资源子网内指定资源。因此需要额外添加一条针对同子网网段的放行规则。网络网络是子网级别的安全策略,用于控制进出子网的数据流。

网络ACL简介

网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。

网络ACL是无状态的,例如用户如果需要允许某些访问,则需要同时添加相应的入站规则和出站规则。若只添加入站规则,未添加出站规则,则会导致访问异常。

关联子网

创建网络ACL后,用户可将该ACL与所属VPC下的任意子网进行绑定和解绑。绑定子网前,请确保ACL中的规则正确,以免影响关联子网中云资源的正常通信。

出站/入站规则

网络ACL 规则分为出站规则和入站规则。用户对网络ACL规则的更新,会自动应用到与其相关联的子网。

允许添加的出站/入站规则数量上限各为50条。

网络 ACL 规则包括以下组成部分:

  • 策略:允许或拒绝。
  • 来源IP/目标IP:出站/入站规则针对的网段。
  • 协议类型:支持TCP、UDP、ICMP和GRE协议类型,可选择ALL来指定所有协议类型。
  • 目标端口:TCP和UDP协议类型允许填写的端口范围为1-65535。其他协议类型无需指定端口。
  • 优先级:规则对应的优先级,数字越小,优先级越高。可填写范围为1-30000。同一优先级的出站/入站规则只能创建一条。
  • 应用目标:ACL规则的生效范围。支持子网内全部资源、子网内指定资源。"子网内全部资源"即该规则对绑定该ACL的子网内所有资源均生效(负载均衡ULB和物理云主机除外);"子网内指定资源"即该规则仅对选中的资源生效,不对子网内未选中的资源生效。

注意: 创建网络ACL后,系统会自动添加一条默认出站规则和一条默认入站规则。

默认出站规则即为全部协议、全部端口流量的出站允许。

默认入站规则即为全部协议、全部端口流量的入站允许。

默认规则不允许编辑和删除,创建ACL时就存在。

默认规则优先级最低,可通过添加优先级更高的规则来覆盖默认规则。

产品配额

每个网络ACL配额如下(不包含默认规则)

名称配额
出站规则数量100
入站规则数量100

ACL规划

当前新建的ACL表默认是黑名单模式的,默认的出站和入站规则均为优先级最低的“全部放行”规则。在实际场景中,ACL由于其无状态的性质,设定非常复杂。下文将介绍ACL规则设定的要点,以及如何根据场景设置恰当的ACL规则。

ACL规则建议

设定ACL规则的时候,建议如下:

  • ACL规则是无状态的,因此设定规则的时候需要同时考虑出站、入站两个方向。
  • UCloud ACL产品默认生效级别为单一云资源。例如添加一条目标地址为0.0.0.0/0的拒绝规则,那么主机与同子网内的主机的互通也会受到影响。因此需要额外添加一条针对同子网网段的放行规则。
  • 同一张ACL表中的不同入站规则,不允许优先级相同。同一张ACL表中的不同出站规则,不允许优先级相同。
  • ACL规则设置,需要尽可能的靠近流量的源头。例如禁止某个IP对子网资源的访问,在出站规则和入站规则做黑名单都可以达到效果。应当设置入站规则,拒绝流量流入。
  • UCloud公共服务网段需要放行,否则将无法正常使用ULB、yum源、NTP、内网DNS等服务。公共服务网段参见公共服务网段

ACL案例

下面通过一个例子来介绍如何配置ACL规则。

网络架构如下图:

在这个例子中,需要为UCloud广州Region的子网A配置ACL规则。子网A需要满足如下规则:

  • 子网A的网段为10.10.1.0/24子网内部全部互通。
  • 子网A的22端口,能且仅能被子网B访问,子网B的网段为192.168.1.0/24.
  • 子网A的云资源仅能访问8.8.8.8的53端口(UDP/TCP),不能访问其他外网地址。
  • 子网A的云资源 80端口能被任意地址访问。
  • 子网A可以正常使用UCloud提供的公共服务。

其余流量均禁止。

那么子网A的ACL规则应当配置如下:

  • 入站规则
优先级目标端口协议源地址策略描述
122TCP192.168.1.0/24接受允许子网B访问22端口
280TCP0.0.0.0/0接受允许任意地址访问80端口
332768-65535TCP8.8.8.8/32接受允许子网内主机访问8.8.8.8的TCP 53端口,临时端口放行。
432768-65535UDP8.8.8.8/32接受允许子网内主机访问8.8.8.8的UDP 53端口,临时端口放行。
5ALLALL10.10.1.0/24接受允许子网内主机互通
6ALLALL10.13.192.0/18接受允许公共服务的访问
30000ALLALL0.0.0.0/0拒绝默认拒绝所有流量
*ALLALL0.0.0.0/0接受默认放行所有流量,创建时系统自动添加。优先级最低。
  • 出站规则
优先级目标端口协议目标地址策略描述
153TCP8.8.8.8/32接受允许子网内主机访问8.8.8.8的TCP53端口
253UDP8.8.8.8/32接受允许子网内主机访问8.8.8.8的UDP53端口
332768-65535TCP0.0.0.0/0接受允许80端口对外访问,允许22端口对子网B访问,临时端口放行。
4ALLALL10.10.1.0/24接受允许子网内主机互通
5ALLALL10.13.192.0/18接受允许公共服务的访问
30000ALLALLALL拒绝默认拒绝所有流量
*ALLALL0.0.0.0/0接受默认放行所有流量,创建时系统自动添加。优先级最低。

ACL规则分析

以“子网A的22端口,能且仅能被子网B访问,子网B的网段为192.168.1.0/24.”这条规则为例,分析方式如下:

其中临时端口是TCP、UDP等协议在主动发起连接的时候,从预设的范围内可以分配到的端口。该端口仅在连接生命周期内处于被占用状态。该范围可以通过以下方式获得:

cat /proc/sys/net/ipv4/ip_local_port_range

可以利用下列命令进行临时端口范围的修改:

echo "32768 65535" >  /proc/sys/net/ipv4/ip_local_port_range

本文使用“32768-65535”指代临时端口。
如上,分别标记出子网A的22端口被子网B访问的四元组。那么在默认规则为拒绝的条件下,需要添加如下入站和出站规则:

  • 入站规则
优先级目标端口协议源地址行为描述
122TCP192.168.1.0/24接受允许子网B访问22端口
  • 出站规则
优先级目标端口协议目标地址行为描述
132768-65535TCP192.168.1.0/24接受允许子网B访问22端口

其余场景,也可以通过列举入向、出向的五元组(源目的IP、端口,以及使用协议)分析得到。

网络ACL

网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。

创建ACL

  • 登录控制台,选择【产品与服务】中“私有网络VPC”,进入私有网络页面。可在网络ACL标签中点击“创建ACL”按钮创建ACL实例。

image

  • 选择ACL所属的VPC,输入ACL名称,点击“确定”。

image

  • 创建完成,在列表中可以看到新建的ACL实例。

image

编辑入站规则

  • 在详情页中,选择“入站规则”标签页。点击“添加入站规则”即可添加入站规则。

在弹出的编辑框中,选择策略、协议类型,填写来源IP、端口和优先级等信息。点击“确定”即可添加。

image

  • 添加完成后,可对规则进行编辑和删除操作。其中默认规则不允许编辑和删除。

image

编辑出站规则

  • 在详情页中,选择“出站规则”标签页。点击“添加出站规则”即可添加入站规则。

在弹出的编辑框中,选择策略、协议类型,填写目标IP、端口和优先级等信息。点击“确定”即可添加。

image

  • 添加完成后,可对规则进行编辑和删除操作。其中默认规则不允许编辑和删除。

image

关联子网

规则编辑完成后,可点击“详情”进入ACL概览页。点击“绑定”,可将ACL与所属VPC下的子网进行绑定。

image

  • 点击“确定”后,即可绑定。

image

  • 点击“解绑“,可将ACL与子网解绑。可进行批量解绑操作。

image

实时文档请点击最新文档https://docs.ucloud.cn/vpc/introduction/acl

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/126175.html

相关文章

  • 概览 私有网络 UVPC

    摘要:概览概览产品简介产品简介和子网简介网关简介内网简介网络简介路由表简介计费说明使用限制规划建议规划规划快速上手搭建网络创建创建子网添加云主机创建网关绑定网络操作指南子网网关内网网络路由表 概览产品简介产品简介VPC和子网简介NAT网关简介内网VIP简介网络ACL简介路由表简介计费说明 使用限制规划建议ACL规划VPC规划快速上手搭建VPC网络Step1 创建VPCStep2 创建子网St...

    ernest.wang 评论0 收藏1751
  • 产品简介 私有网络 UVPC

    摘要:在私有网络中,可以创建指定网段的,在中创建子网并自主管理云资源。这些独立的网络段叫做子网。网络是子网级别的安全策略,用于控制进出子网的数据流。 产品简介本篇目录私有网络简介私有网络组件私有网络简介私有网络 VPC(Virtual Private Cloud)是属于用户的、逻辑隔离的网络环境。在私有网络中,可以创建指定网段的VPC,在VPC中创建子网并自主管理云资源,同时通过网络ACL实现安全...

    ernest.wang 评论0 收藏826
  • 网络ACL简介 私有网络 UVPC

    摘要:网络简介网络简介本篇目录关联子网关联子网出站入站规则出站入站规则产品配额产品配额网络是子网级别的安全策略,用于控制进出子网的数据流。用户对网络规则的更新,会自动应用到与其相关联的子网。支持子网内全部资源子网内指定资源。 网络ACL简介本篇目录关联子网出站/入站规则产品配额网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制...

    ernest.wang 评论0 收藏171
  • 网络ACL 私有网络 UVPC

    摘要:用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。创建创建创建登录控制台,选择产品与服务中私有网络,进入私有网络页面。点击绑定,可将与所属下的子网进行绑定。 网络ACL本篇目录创建ACL编辑入站规则编辑出站规则关联子网网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。 创建ACL 登录控制台,选择【产品...

    ernest.wang 评论0 收藏1303
  • 计费说明 私有网络 UVPC

    摘要:计费说明计费说明计费说明私有网络子网网络均为免费产品,不需支付任何费用。网关为免费产品,但所绑定的弹性为收费产品,具体价格参考弹性产品价格。 计费说明私有网络VPC、子网、网络ACL均为免费产品,不需支付任何费用。NAT网关为免费产品,但所绑定的弹性IP为收费产品,具体价格参考弹性IP产品价格。

    ernest.wang 评论0 收藏1435

发表评论

0条评论

最新活动
阅读需要支付1元查看
<