摘要:关联子网创建网络后,用户可将该与所属下的任意子网进行绑定和解绑。支持子网内全部资源子网内指定资源。因此需要额外添加一条针对同子网网段的放行规则。网络网络是子网级别的安全策略,用于控制进出子网的数据流。
网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。
网络ACL是无状态的,例如用户如果需要允许某些访问,则需要同时添加相应的入站规则和出站规则。若只添加入站规则,未添加出站规则,则会导致访问异常。
创建网络ACL后,用户可将该ACL与所属VPC下的任意子网进行绑定和解绑。绑定子网前,请确保ACL中的规则正确,以免影响关联子网中云资源的正常通信。
网络ACL 规则分为出站规则和入站规则。用户对网络ACL规则的更新,会自动应用到与其相关联的子网。
允许添加的出站/入站规则数量上限各为50条。
网络 ACL 规则包括以下组成部分:
注意: 创建网络ACL后,系统会自动添加一条默认出站规则和一条默认入站规则。
默认出站规则即为全部协议、全部端口流量的出站允许。
默认入站规则即为全部协议、全部端口流量的入站允许。
默认规则优先级最低,可通过添加优先级更高的规则来覆盖默认规则。
每个网络ACL配额如下(不包含默认规则)
| 名称 | 配额 |
|---|---|
| 出站规则数量 | 100 |
| 入站规则数量 | 100 |
当前新建的ACL表默认是黑名单模式的,默认的出站和入站规则均为优先级最低的“全部放行”规则。在实际场景中,ACL由于其无状态的性质,设定非常复杂。下文将介绍ACL规则设定的要点,以及如何根据场景设置恰当的ACL规则。
设定ACL规则的时候,建议如下:
下面通过一个例子来介绍如何配置ACL规则。
网络架构如下图:
在这个例子中,需要为UCloud广州Region的子网A配置ACL规则。子网A需要满足如下规则:
其余流量均禁止。
那么子网A的ACL规则应当配置如下:
| 优先级 | 目标端口 | 协议 | 源地址 | 策略 | 描述 |
|---|---|---|---|---|---|
| 1 | 22 | TCP | 192.168.1.0/24 | 接受 | 允许子网B访问22端口 |
| 2 | 80 | TCP | 0.0.0.0/0 | 接受 | 允许任意地址访问80端口 |
| 3 | 32768-65535 | TCP | 8.8.8.8/32 | 接受 | 允许子网内主机访问8.8.8.8的TCP 53端口,临时端口放行。 |
| 4 | 32768-65535 | UDP | 8.8.8.8/32 | 接受 | 允许子网内主机访问8.8.8.8的UDP 53端口,临时端口放行。 |
| 5 | ALL | ALL | 10.10.1.0/24 | 接受 | 允许子网内主机互通 |
| 6 | ALL | ALL | 10.13.192.0/18 | 接受 | 允许公共服务的访问 |
| 30000 | ALL | ALL | 0.0.0.0/0 | 拒绝 | 默认拒绝所有流量 |
| * | ALL | ALL | 0.0.0.0/0 | 接受 | 默认放行所有流量,创建时系统自动添加。优先级最低。 |
| 优先级 | 目标端口 | 协议 | 目标地址 | 策略 | 描述 |
|---|---|---|---|---|---|
| 1 | 53 | TCP | 8.8.8.8/32 | 接受 | 允许子网内主机访问8.8.8.8的TCP53端口 |
| 2 | 53 | UDP | 8.8.8.8/32 | 接受 | 允许子网内主机访问8.8.8.8的UDP53端口 |
| 3 | 32768-65535 | TCP | 0.0.0.0/0 | 接受 | 允许80端口对外访问,允许22端口对子网B访问,临时端口放行。 |
| 4 | ALL | ALL | 10.10.1.0/24 | 接受 | 允许子网内主机互通 |
| 5 | ALL | ALL | 10.13.192.0/18 | 接受 | 允许公共服务的访问 |
| 30000 | ALL | ALL | ALL | 拒绝 | 默认拒绝所有流量 |
| * | ALL | ALL | 0.0.0.0/0 | 接受 | 默认放行所有流量,创建时系统自动添加。优先级最低。 |
以“子网A的22端口,能且仅能被子网B访问,子网B的网段为192.168.1.0/24.”这条规则为例,分析方式如下:
其中临时端口是TCP、UDP等协议在主动发起连接的时候,从预设的范围内可以分配到的端口。该端口仅在连接生命周期内处于被占用状态。该范围可以通过以下方式获得:
cat /proc/sys/net/ipv4/ip_local_port_range
可以利用下列命令进行临时端口范围的修改:
echo "32768 65535" > /proc/sys/net/ipv4/ip_local_port_range
本文使用“32768-65535”指代临时端口。
如上,分别标记出子网A的22端口被子网B访问的四元组。那么在默认规则为拒绝的条件下,需要添加如下入站和出站规则:
| 优先级 | 目标端口 | 协议 | 源地址 | 行为 | 描述 |
|---|---|---|---|---|---|
| 1 | 22 | TCP | 192.168.1.0/24 | 接受 | 允许子网B访问22端口 |
| 优先级 | 目标端口 | 协议 | 目标地址 | 行为 | 描述 |
|---|---|---|---|---|---|
| 1 | 32768-65535 | TCP | 192.168.1.0/24 | 接受 | 允许子网B访问22端口 |
其余场景,也可以通过列举入向、出向的五元组(源目的IP、端口,以及使用协议)分析得到。
网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。
在弹出的编辑框中,选择策略、协议类型,填写来源IP、端口和优先级等信息。点击“确定”即可添加。
在弹出的编辑框中,选择策略、协议类型,填写目标IP、端口和优先级等信息。点击“确定”即可添加。
规则编辑完成后,可点击“详情”进入ACL概览页。点击“绑定”,可将ACL与所属VPC下的子网进行绑定。
实时文档请点击最新文档:https://docs.ucloud.cn/vpc/introduction/acl
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/126175.html
摘要:概览概览产品简介产品简介和子网简介网关简介内网简介网络简介路由表简介计费说明使用限制规划建议规划规划快速上手搭建网络创建创建子网添加云主机创建网关绑定网络操作指南子网网关内网网络路由表 概览产品简介产品简介VPC和子网简介NAT网关简介内网VIP简介网络ACL简介路由表简介计费说明 使用限制规划建议ACL规划VPC规划快速上手搭建VPC网络Step1 创建VPCStep2 创建子网St...
摘要:在私有网络中,可以创建指定网段的,在中创建子网并自主管理云资源。这些独立的网络段叫做子网。网络是子网级别的安全策略,用于控制进出子网的数据流。 产品简介本篇目录私有网络简介私有网络组件私有网络简介私有网络 VPC(Virtual Private Cloud)是属于用户的、逻辑隔离的网络环境。在私有网络中,可以创建指定网段的VPC,在VPC中创建子网并自主管理云资源,同时通过网络ACL实现安全...
摘要:网络简介网络简介本篇目录关联子网关联子网出站入站规则出站入站规则产品配额产品配额网络是子网级别的安全策略,用于控制进出子网的数据流。用户对网络规则的更新,会自动应用到与其相关联的子网。支持子网内全部资源子网内指定资源。 网络ACL简介本篇目录关联子网出站/入站规则产品配额网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制...
摘要:用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。创建创建创建登录控制台,选择产品与服务中私有网络,进入私有网络页面。点击绑定,可将与所属下的子网进行绑定。 网络ACL本篇目录创建ACL编辑入站规则编辑出站规则关联子网网络ACL是子网级别的安全策略,用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则,对进出子网的流量进行精确控制。 创建ACL 登录控制台,选择【产品...
摘要:计费说明计费说明计费说明私有网络子网网络均为免费产品,不需支付任何费用。网关为免费产品,但所绑定的弹性为收费产品,具体价格参考弹性产品价格。 计费说明私有网络VPC、子网、网络ACL均为免费产品,不需支付任何费用。NAT网关为免费产品,但所绑定的弹性IP为收费产品,具体价格参考弹性IP产品价格。
阅读 3473·2023-04-25 20:09
阅读 3685·2022-06-28 19:00
阅读 2994·2022-06-28 19:00
阅读 2995·2022-06-28 19:00
阅读 3048·2022-06-28 19:00
阅读 2834·2022-06-28 19:00
阅读 2969·2022-06-28 19:00
阅读 2578·2022-06-28 19:00
