摘要:關聯子網創建網絡后,用戶可將該與所屬下的任意子網進行綁定和解綁。支持子網內全部資源子網內指定資源。因此需要額外添加一條針對同子網網段的放行規則。網絡網絡是子網級別的安全策略,用于控制進出子網的數據流。
網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。
網絡ACL是無狀態的,例如用戶如果需要允許某些訪問,則需要同時添加相應的入站規則和出站規則。若只添加入站規則,未添加出站規則,則會導致訪問異常。
創建網絡ACL后,用戶可將該ACL與所屬VPC下的任意子網進行綁定和解綁。綁定子網前,請確保ACL中的規則正確,以免影響關聯子網中云資源的正常通信。
網絡ACL 規則分為出站規則和入站規則。用戶對網絡ACL規則的更新,會自動應用到與其相關聯的子網。
允許添加的出站/入站規則數量上限各為50條。
網絡 ACL 規則包括以下組成部分:
注意: 創建網絡ACL后,系統會自動添加一條默認出站規則和一條默認入站規則。
默認出站規則即為全部協議、全部端口流量的出站允許。
默認入站規則即為全部協議、全部端口流量的入站允許。
默認規則不允許編輯和刪除,創建ACL時就存在。
默認規則優先級最低,可通過添加優先級更高的規則來覆蓋默認規則。
每個網絡ACL配額如下(不包含默認規則)
名稱 | 配額 |
---|---|
出站規則數量 | 100 |
入站規則數量 | 100 |
當前新建的ACL表默認是黑名單模式的,默認的出站和入站規則均為優先級最低的“全部放行”規則。在實際場景中,ACL由于其無狀態的性質,設定非常復雜。下文將介紹ACL規則設定的要點,以及如何根據場景設置恰當的ACL規則。
設定ACL規則的時候,建議如下:
下面通過一個例子來介紹如何配置ACL規則。
網絡架構如下圖:
在這個例子中,需要為UCloud廣州Region的子網A配置ACL規則。子網A需要滿足如下規則:
其余流量均禁止。
那么子網A的ACL規則應當配置如下:
優先級 | 目標端口 | 協議 | 源地址 | 策略 | 描述 |
---|---|---|---|---|---|
1 | 22 | TCP | 192.168.1.0/24 | 接受 | 允許子網B訪問22端口 |
2 | 80 | TCP | 0.0.0.0/0 | 接受 | 允許任意地址訪問80端口 |
3 | 32768-65535 | TCP | 8.8.8.8/32 | 接受 | 允許子網內主機訪問8.8.8.8的TCP 53端口,臨時端口放行。 |
4 | 32768-65535 | UDP | 8.8.8.8/32 | 接受 | 允許子網內主機訪問8.8.8.8的UDP 53端口,臨時端口放行。 |
5 | ALL | ALL | 10.10.1.0/24 | 接受 | 允許子網內主機互通 |
6 | ALL | ALL | 10.13.192.0/18 | 接受 | 允許公共服務的訪問 |
30000 | ALL | ALL | 0.0.0.0/0 | 拒絕 | 默認拒絕所有流量 |
* | ALL | ALL | 0.0.0.0/0 | 接受 | 默認放行所有流量,創建時系統自動添加。優先級最低。 |
優先級 | 目標端口 | 協議 | 目標地址 | 策略 | 描述 |
---|---|---|---|---|---|
1 | 53 | TCP | 8.8.8.8/32 | 接受 | 允許子網內主機訪問8.8.8.8的TCP53端口 |
2 | 53 | UDP | 8.8.8.8/32 | 接受 | 允許子網內主機訪問8.8.8.8的UDP53端口 |
3 | 32768-65535 | TCP | 0.0.0.0/0 | 接受 | 允許80端口對外訪問,允許22端口對子網B訪問,臨時端口放行。 |
4 | ALL | ALL | 10.10.1.0/24 | 接受 | 允許子網內主機互通 |
5 | ALL | ALL | 10.13.192.0/18 | 接受 | 允許公共服務的訪問 |
30000 | ALL | ALL | ALL | 拒絕 | 默認拒絕所有流量 |
* | ALL | ALL | 0.0.0.0/0 | 接受 | 默認放行所有流量,創建時系統自動添加。優先級最低。 |
以“子網A的22端口,能且僅能被子網B訪問,子網B的網段為192.168.1.0/24.”這條規則為例,分析方式如下:
其中臨時端口是TCP、UDP等協議在主動發起連接的時候,從預設的范圍內可以分配到的端口。該端口僅在連接生命周期內處于被占用狀態。該范圍可以通過以下方式獲得:
cat /proc/sys/net/ipv4/ip_local_port_range
可以利用下列命令進行臨時端口范圍的修改:
echo "32768 65535" > /proc/sys/net/ipv4/ip_local_port_range
本文使用“32768-65535”指代臨時端口。
如上,分別標記出子網A的22端口被子網B訪問的四元組。那么在默認規則為拒絕的條件下,需要添加如下入站和出站規則:
優先級 | 目標端口 | 協議 | 源地址 | 行為 | 描述 |
---|---|---|---|---|---|
1 | 22 | TCP | 192.168.1.0/24 | 接受 | 允許子網B訪問22端口 |
優先級 | 目標端口 | 協議 | 目標地址 | 行為 | 描述 |
---|---|---|---|---|---|
1 | 32768-65535 | TCP | 192.168.1.0/24 | 接受 | 允許子網B訪問22端口 |
其余場景,也可以通過列舉入向、出向的五元組(源目的IP、端口,以及使用協議)分析得到。
網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。
在彈出的編輯框中,選擇策略、協議類型,填寫來源IP、端口和優先級等信息。點擊“確定”即可添加。
在彈出的編輯框中,選擇策略、協議類型,填寫目標IP、端口和優先級等信息。點擊“確定”即可添加。
規則編輯完成后,可點擊“詳情”進入ACL概覽頁。點擊“綁定”,可將ACL與所屬VPC下的子網進行綁定。
實時文檔請點擊最新文檔:https://docs.ucloud.cn/vpc/introduction/acl
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/126175.html
摘要:概覽概覽產品簡介產品簡介和子網簡介網關簡介內網簡介網絡簡介路由表簡介計費說明使用限制規劃建議規劃規劃快速上手搭建網絡創建創建子網添加云主機創建網關綁定網絡操作指南子網網關內網網絡路由表 概覽產品簡介產品簡介VPC和子網簡介NAT網關簡介內網VIP簡介網絡ACL簡介路由表簡介計費說明 使用限制規劃建議ACL規劃VPC規劃快速上手搭建VPC網絡Step1 創建VPCStep2 創建子網St...
摘要:在私有網絡中,可以創建指定網段的,在中創建子網并自主管理云資源。這些獨立的網絡段叫做子網。網絡是子網級別的安全策略,用于控制進出子網的數據流。 產品簡介本篇目錄私有網絡簡介私有網絡組件私有網絡簡介私有網絡 VPC(Virtual Private Cloud)是屬于用戶的、邏輯隔離的網絡環境。在私有網絡中,可以創建指定網段的VPC,在VPC中創建子網并自主管理云資源,同時通過網絡ACL實現安全...
摘要:網絡簡介網絡簡介本篇目錄關聯子網關聯子網出站入站規則出站入站規則產品配額產品配額網絡是子網級別的安全策略,用于控制進出子網的數據流。用戶對網絡規則的更新,會自動應用到與其相關聯的子網。支持子網內全部資源子網內指定資源。 網絡ACL簡介本篇目錄關聯子網出站/入站規則產品配額網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制...
摘要:用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。創建創建創建登錄控制臺,選擇產品與服務中私有網絡,進入私有網絡頁面。點擊綁定,可將與所屬下的子網進行綁定。 網絡ACL本篇目錄創建ACL編輯入站規則編輯出站規則關聯子網網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。 創建ACL 登錄控制臺,選擇【產品...
摘要:計費說明計費說明計費說明私有網絡子網網絡均為免費產品,不需支付任何費用。網關為免費產品,但所綁定的彈性為收費產品,具體價格參考彈性產品價格。 計費說明私有網絡VPC、子網、網絡ACL均為免費產品,不需支付任何費用。NAT網關為免費產品,但所綁定的彈性IP為收費產品,具體價格參考彈性IP產品價格。
閱讀 3514·2023-04-25 20:09
閱讀 3720·2022-06-28 19:00
閱讀 3035·2022-06-28 19:00
閱讀 3058·2022-06-28 19:00
閱讀 3132·2022-06-28 19:00
閱讀 2859·2022-06-28 19:00
閱讀 3014·2022-06-28 19:00
閱讀 2610·2022-06-28 19:00