国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

【私有網絡 UVPC】網絡ACL簡介,ACL規劃已經操作指南

Tecode / 2504人閱讀

摘要:關聯子網創建網絡后,用戶可將該與所屬下的任意子網進行綁定和解綁。支持子網內全部資源子網內指定資源。因此需要額外添加一條針對同子網網段的放行規則。網絡網絡是子網級別的安全策略,用于控制進出子網的數據流。

網絡ACL簡介

網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。

網絡ACL是無狀態的,例如用戶如果需要允許某些訪問,則需要同時添加相應的入站規則和出站規則。若只添加入站規則,未添加出站規則,則會導致訪問異常。

關聯子網

創建網絡ACL后,用戶可將該ACL與所屬VPC下的任意子網進行綁定和解綁。綁定子網前,請確保ACL中的規則正確,以免影響關聯子網中云資源的正常通信。

出站/入站規則

網絡ACL 規則分為出站規則和入站規則。用戶對網絡ACL規則的更新,會自動應用到與其相關聯的子網。

允許添加的出站/入站規則數量上限各為50條。

網絡 ACL 規則包括以下組成部分:

  • 策略:允許或拒絕。
  • 來源IP/目標IP:出站/入站規則針對的網段。
  • 協議類型:支持TCP、UDP、ICMP和GRE協議類型,可選擇ALL來指定所有協議類型。
  • 目標端口:TCP和UDP協議類型允許填寫的端口范圍為1-65535。其他協議類型無需指定端口。
  • 優先級:規則對應的優先級,數字越小,優先級越高。可填寫范圍為1-30000。同一優先級的出站/入站規則只能創建一條。
  • 應用目標:ACL規則的生效范圍。支持子網內全部資源、子網內指定資源。"子網內全部資源"即該規則對綁定該ACL的子網內所有資源均生效(負載均衡ULB和物理云主機除外);"子網內指定資源"即該規則僅對選中的資源生效,不對子網內未選中的資源生效。

注意: 創建網絡ACL后,系統會自動添加一條默認出站規則和一條默認入站規則。

默認出站規則即為全部協議、全部端口流量的出站允許。

默認入站規則即為全部協議、全部端口流量的入站允許。

默認規則不允許編輯和刪除,創建ACL時就存在。

默認規則優先級最低,可通過添加優先級更高的規則來覆蓋默認規則。

產品配額

每個網絡ACL配額如下(不包含默認規則)

名稱配額
出站規則數量100
入站規則數量100

ACL規劃

當前新建的ACL表默認是黑名單模式的,默認的出站和入站規則均為優先級最低的“全部放行”規則。在實際場景中,ACL由于其無狀態的性質,設定非常復雜。下文將介紹ACL規則設定的要點,以及如何根據場景設置恰當的ACL規則。

ACL規則建議

設定ACL規則的時候,建議如下:

  • ACL規則是無狀態的,因此設定規則的時候需要同時考慮出站、入站兩個方向。
  • UCloud ACL產品默認生效級別為單一云資源。例如添加一條目標地址為0.0.0.0/0的拒絕規則,那么主機與同子網內的主機的互通也會受到影響。因此需要額外添加一條針對同子網網段的放行規則。
  • 同一張ACL表中的不同入站規則,不允許優先級相同。同一張ACL表中的不同出站規則,不允許優先級相同。
  • ACL規則設置,需要盡可能的靠近流量的源頭。例如禁止某個IP對子網資源的訪問,在出站規則和入站規則做黑名單都可以達到效果。應當設置入站規則,拒絕流量流入。
  • UCloud公共服務網段需要放行,否則將無法正常使用ULB、yum源、NTP、內網DNS等服務。公共服務網段參見公共服務網段。

ACL案例

下面通過一個例子來介紹如何配置ACL規則。

網絡架構如下圖:

在這個例子中,需要為UCloud廣州Region的子網A配置ACL規則。子網A需要滿足如下規則:

  • 子網A的網段為10.10.1.0/24子網內部全部互通。
  • 子網A的22端口,能且僅能被子網B訪問,子網B的網段為192.168.1.0/24.
  • 子網A的云資源僅能訪問8.8.8.8的53端口(UDP/TCP),不能訪問其他外網地址。
  • 子網A的云資源 80端口能被任意地址訪問。
  • 子網A可以正常使用UCloud提供的公共服務。

其余流量均禁止。

那么子網A的ACL規則應當配置如下:

  • 入站規則
優先級目標端口協議源地址策略描述
122TCP192.168.1.0/24接受允許子網B訪問22端口
280TCP0.0.0.0/0接受允許任意地址訪問80端口
332768-65535TCP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的TCP 53端口,臨時端口放行。
432768-65535UDP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的UDP 53端口,臨時端口放行。
5ALLALL10.10.1.0/24接受允許子網內主機互通
6ALLALL10.13.192.0/18接受允許公共服務的訪問
30000ALLALL0.0.0.0/0拒絕默認拒絕所有流量
*ALLALL0.0.0.0/0接受默認放行所有流量,創建時系統自動添加。優先級最低。
  • 出站規則
優先級目標端口協議目標地址策略描述
153TCP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的TCP53端口
253UDP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的UDP53端口
332768-65535TCP0.0.0.0/0接受允許80端口對外訪問,允許22端口對子網B訪問,臨時端口放行。
4ALLALL10.10.1.0/24接受允許子網內主機互通
5ALLALL10.13.192.0/18接受允許公共服務的訪問
30000ALLALLALL拒絕默認拒絕所有流量
*ALLALL0.0.0.0/0接受默認放行所有流量,創建時系統自動添加。優先級最低。

ACL規則分析

以“子網A的22端口,能且僅能被子網B訪問,子網B的網段為192.168.1.0/24.”這條規則為例,分析方式如下:

其中臨時端口是TCP、UDP等協議在主動發起連接的時候,從預設的范圍內可以分配到的端口。該端口僅在連接生命周期內處于被占用狀態。該范圍可以通過以下方式獲得:

cat /proc/sys/net/ipv4/ip_local_port_range

可以利用下列命令進行臨時端口范圍的修改:

echo "32768 65535" >  /proc/sys/net/ipv4/ip_local_port_range

本文使用“32768-65535”指代臨時端口。
如上,分別標記出子網A的22端口被子網B訪問的四元組。那么在默認規則為拒絕的條件下,需要添加如下入站和出站規則:

  • 入站規則
優先級目標端口協議源地址行為描述
122TCP192.168.1.0/24接受允許子網B訪問22端口
  • 出站規則
優先級目標端口協議目標地址行為描述
132768-65535TCP192.168.1.0/24接受允許子網B訪問22端口

其余場景,也可以通過列舉入向、出向的五元組(源目的IP、端口,以及使用協議)分析得到。

網絡ACL

網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。

創建ACL

  • 登錄控制臺,選擇【產品與服務】中“私有網絡VPC”,進入私有網絡頁面??稍诰W絡ACL標簽中點擊“創建ACL”按鈕創建ACL實例。

image

  • 選擇ACL所屬的VPC,輸入ACL名稱,點擊“確定”。

image

  • 創建完成,在列表中可以看到新建的ACL實例。

image

編輯入站規則

  • 在詳情頁中,選擇“入站規則”標簽頁。點擊“添加入站規則”即可添加入站規則。

在彈出的編輯框中,選擇策略、協議類型,填寫來源IP、端口和優先級等信息。點擊“確定”即可添加。

image

  • 添加完成后,可對規則進行編輯和刪除操作。其中默認規則不允許編輯和刪除。

image

編輯出站規則

  • 在詳情頁中,選擇“出站規則”標簽頁。點擊“添加出站規則”即可添加入站規則。

在彈出的編輯框中,選擇策略、協議類型,填寫目標IP、端口和優先級等信息。點擊“確定”即可添加。

image

  • 添加完成后,可對規則進行編輯和刪除操作。其中默認規則不允許編輯和刪除。

image

關聯子網

規則編輯完成后,可點擊“詳情”進入ACL概覽頁。點擊“綁定”,可將ACL與所屬VPC下的子網進行綁定。

image

  • 點擊“確定”后,即可綁定。

image

  • 點擊“解綁“,可將ACL與子網解綁。可進行批量解綁操作。

image

實時文檔請點擊最新文檔https://docs.ucloud.cn/vpc/introduction/acl

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/126175.html

相關文章

  • 概覽 私有網絡 UVPC

    摘要:概覽概覽產品簡介產品簡介和子網簡介網關簡介內網簡介網絡簡介路由表簡介計費說明使用限制規劃建議規劃規劃快速上手搭建網絡創建創建子網添加云主機創建網關綁定網絡操作指南子網網關內網網絡路由表 概覽產品簡介產品簡介VPC和子網簡介NAT網關簡介內網VIP簡介網絡ACL簡介路由表簡介計費說明 使用限制規劃建議ACL規劃VPC規劃快速上手搭建VPC網絡Step1 創建VPCStep2 創建子網St...

    ernest.wang 評論0 收藏1751
  • 產品簡介 私有網絡 UVPC

    摘要:在私有網絡中,可以創建指定網段的,在中創建子網并自主管理云資源。這些獨立的網絡段叫做子網。網絡是子網級別的安全策略,用于控制進出子網的數據流。 產品簡介本篇目錄私有網絡簡介私有網絡組件私有網絡簡介私有網絡 VPC(Virtual Private Cloud)是屬于用戶的、邏輯隔離的網絡環境。在私有網絡中,可以創建指定網段的VPC,在VPC中創建子網并自主管理云資源,同時通過網絡ACL實現安全...

    ernest.wang 評論0 收藏826
  • 網絡ACL簡介 私有網絡 UVPC

    摘要:網絡簡介網絡簡介本篇目錄關聯子網關聯子網出站入站規則出站入站規則產品配額產品配額網絡是子網級別的安全策略,用于控制進出子網的數據流。用戶對網絡規則的更新,會自動應用到與其相關聯的子網。支持子網內全部資源子網內指定資源。 網絡ACL簡介本篇目錄關聯子網出站/入站規則產品配額網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制...

    ernest.wang 評論0 收藏171
  • 網絡ACL 私有網絡 UVPC

    摘要:用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。創建創建創建登錄控制臺,選擇產品與服務中私有網絡,進入私有網絡頁面。點擊綁定,可將與所屬下的子網進行綁定。 網絡ACL本篇目錄創建ACL編輯入站規則編輯出站規則關聯子網網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規則和入站規則,對進出子網的流量進行精確控制。 創建ACL 登錄控制臺,選擇【產品...

    ernest.wang 評論0 收藏1303
  • 計費說明 私有網絡 UVPC

    摘要:計費說明計費說明計費說明私有網絡子網網絡均為免費產品,不需支付任何費用。網關為免費產品,但所綁定的彈性為收費產品,具體價格參考彈性產品價格。 計費說明私有網絡VPC、子網、網絡ACL均為免費產品,不需支付任何費用。NAT網關為免費產品,但所綁定的彈性IP為收費產品,具體價格參考彈性IP產品價格。

    ernest.wang 評論0 收藏1435

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<