文档平台

操作指南
API文档

网络 ACL

最近更新时间:2018-10-12 18:51:34

查看pdf

基本概念

网络访问控制列表(Access Control List,ACL)是一个子网级别无状态的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度。如下图所示,其规则与 安全组 相似,但由于网络 ACL 无状态的特性,设置入站规则允许某些访问后,如果没有设置相应的出站规则,也会导致无法响应访问。

使用场景

您可以为具有相同网络流量控制的子网关联同一个网络 ACL,通过设置出站和入站规则,对进出子网的流量进行精确控制。
例如,您在腾讯云私有网络内托管多层 Web 应用,创建了不同子网分别部署 Web 层、逻辑层和数据层服务,通过网络 ACL,您可以控制这三个子网之间的访问:Web 层子网和数据库层子网无法相互访问,只有逻辑层可以访问 Web 层和数据层子网。

ACL 规则

ACL 规则是网络 ACL 的组成部分。当您在网络 ACL 中添加或删除规则后,会自动应用到与其相关联的子网。
网络 ACL 规则包括以下几个组成部分:

  • 协议类型,如 TCP、UDP 和 HTTP 等。
  • 目的端口或端口范围。
  • 源数据(入站)或目标数据(出站)的 IP 或者 IP 范围(以 CIDR 表示)。
  • 策略:允许或拒绝。

腾讯云根据与子网关联的 ACL 入站 / 出站规则评估数据包,判断数据包是否允许流向 / 流出子网。

规则优先级

网络 ACL 规则的应用顺序为:由规则第一条(列表顶端)开始应用至最后一条(列表末尾)。若有规则 / 部分规则冲突,默认应用 位置更前 的规则。
例如,需要允许所有源 IP 对云服务器所有端口进行访问,同时唯一拒绝源 IP 为 192.168.200.11/24 的机器 HTTP 访问 80 端口,可按以下方式设置:

协议类型 端口 源 IP 策略
HTTP 80 192.168.200.11/24 拒绝
ALL ALL 0.0.0.0/0 允许

临时端口范围

临时端口是客户端发起请求时配置的端口,设置网络 ACL 出站规则时需注意这点。由于网络 ACL 无状态的特性,即使设置入站规则允许某些访问,如果没有设置相应的出站规则,也会导致无法响应访问。
例如:某客户端向 VPC 内某子网中的主机发起请求,该子网关联了网络 ACL。客户端默认配置的端口属于临时端口范围。如果网络 ACL 出站规则中没有设置允许对应临时端口的流量,那么客户端的请求将无法返回。根据客户端的操作系统不同,临时端口范围也随之不同。

  • 许多 Linux 内核使用端口 32768 - 61000。
  • Windows Server 2003 使用端口 1025 - 5000。
  • Windows Server 2008 使用端口 49152 - 65535。

因此,如果一个来自 Internet 上的 Windows XP 客户端,请求访问您的 VPC 内某子网的 Web 服务器,该子网关联了网络 ACL,则您的网络 ACL 必须有相应的出站规则,允许目标端口为 1025 - 5000 的数据流通过。

安全组与网络 ACL 的区别

安全组 网络 ACL
CVM 实例级别的流量控制(第一防御层) 子网级别的流量控制(第二防御层)
支持允许规则和拒绝规则 支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响 无状态:返回数据流必须被规则明确允许
只有在启动 CVM 实例的同时,指定安全组或稍后将安全组与实例关联的情况下,操作才会被应用到实例 自动应用到关联子网内的所有 CVM 实例(备份防御层,若 CVM 实例为绑定安全组,此处可以做备份防御)

使用约束

注意事项

关于网络 ACL,您需要注意以下几点:

  • 一个网络 ACL 可以绑定多个子网,但一个子网同一时间只能绑定一个网络 ACL。
  • 网络 ACL 有单独的入站和出站规则,每条规则包括协议类型、端口、源/目的 IP,策略(拒绝/允许)和备注。
  • 每个新建网络 ACL 最初都为关闭状态(不允许任何数据流),直至您添加规则为止。
  • 网络 ACL 没有任何状态,对允许入站数据流的响应会随着出站数据流规则的变化而改变(反之亦然),亦即您需要分别对请求和响应数据流设置规则。
  • 网络 ACL 对所关联子网内的 CVM 实例之间的互访不产生影响。

资源限制

网络 ACL 的资源限制如下表所示:

资源 限制
每个私有网络内网络 ACL 数 50 个
每个网络 ACL 中规则数 入站方向:20 条
出站方向:20 条
每个子网关联的网络 ACL 个数 1 个
每个网络 ACL 关联的子网个数 无限制

计费方式

网络 ACL 服务供用户免费使用。
更多私有网络服务价格,请参见 计费概述

操作指南

控制台操作详情,请参见 操作总览

如果有其他疑问,你也可以通过提问形式与我们联系探讨

操作指南
API文档

网络 ACL

最近更新时间:2018-10-12 18:51:34

查看pdf

基本概念

网络访问控制列表(Access Control List,ACL)是一个子网级别无状态的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度。如下图所示,其规则与 安全组 相似,但由于网络 ACL 无状态的特性,设置入站规则允许某些访问后,如果没有设置相应的出站规则,也会导致无法响应访问。

使用场景

您可以为具有相同网络流量控制的子网关联同一个网络 ACL,通过设置出站和入站规则,对进出子网的流量进行精确控制。
例如,您在腾讯云私有网络内托管多层 Web 应用,创建了不同子网分别部署 Web 层、逻辑层和数据层服务,通过网络 ACL,您可以控制这三个子网之间的访问:Web 层子网和数据库层子网无法相互访问,只有逻辑层可以访问 Web 层和数据层子网。

ACL 规则

ACL 规则是网络 ACL 的组成部分。当您在网络 ACL 中添加或删除规则后,会自动应用到与其相关联的子网。
网络 ACL 规则包括以下几个组成部分:

  • 协议类型,如 TCP、UDP 和 HTTP 等。
  • 目的端口或端口范围。
  • 源数据(入站)或目标数据(出站)的 IP 或者 IP 范围(以 CIDR 表示)。
  • 策略:允许或拒绝。

腾讯云根据与子网关联的 ACL 入站 / 出站规则评估数据包,判断数据包是否允许流向 / 流出子网。

规则优先级

网络 ACL 规则的应用顺序为:由规则第一条(列表顶端)开始应用至最后一条(列表末尾)。若有规则 / 部分规则冲突,默认应用 位置更前 的规则。
例如,需要允许所有源 IP 对云服务器所有端口进行访问,同时唯一拒绝源 IP 为 192.168.200.11/24 的机器 HTTP 访问 80 端口,可按以下方式设置:

协议类型 端口 源 IP 策略
HTTP 80 192.168.200.11/24 拒绝
ALL ALL 0.0.0.0/0 允许

临时端口范围

临时端口是客户端发起请求时配置的端口,设置网络 ACL 出站规则时需注意这点。由于网络 ACL 无状态的特性,即使设置入站规则允许某些访问,如果没有设置相应的出站规则,也会导致无法响应访问。
例如:某客户端向 VPC 内某子网中的主机发起请求,该子网关联了网络 ACL。客户端默认配置的端口属于临时端口范围。如果网络 ACL 出站规则中没有设置允许对应临时端口的流量,那么客户端的请求将无法返回。根据客户端的操作系统不同,临时端口范围也随之不同。

  • 许多 Linux 内核使用端口 32768 - 61000。
  • Windows Server 2003 使用端口 1025 - 5000。
  • Windows Server 2008 使用端口 49152 - 65535。

因此,如果一个来自 Internet 上的 Windows XP 客户端,请求访问您的 VPC 内某子网的 Web 服务器,该子网关联了网络 ACL,则您的网络 ACL 必须有相应的出站规则,允许目标端口为 1025 - 5000 的数据流通过。

安全组与网络 ACL 的区别

安全组 网络 ACL
CVM 实例级别的流量控制(第一防御层) 子网级别的流量控制(第二防御层)
支持允许规则和拒绝规则 支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响 无状态:返回数据流必须被规则明确允许
只有在启动 CVM 实例的同时,指定安全组或稍后将安全组与实例关联的情况下,操作才会被应用到实例 自动应用到关联子网内的所有 CVM 实例(备份防御层,若 CVM 实例为绑定安全组,此处可以做备份防御)

使用约束

注意事项

关于网络 ACL,您需要注意以下几点:

  • 一个网络 ACL 可以绑定多个子网,但一个子网同一时间只能绑定一个网络 ACL。
  • 网络 ACL 有单独的入站和出站规则,每条规则包括协议类型、端口、源/目的 IP,策略(拒绝/允许)和备注。
  • 每个新建网络 ACL 最初都为关闭状态(不允许任何数据流),直至您添加规则为止。
  • 网络 ACL 没有任何状态,对允许入站数据流的响应会随着出站数据流规则的变化而改变(反之亦然),亦即您需要分别对请求和响应数据流设置规则。
  • 网络 ACL 对所关联子网内的 CVM 实例之间的互访不产生影响。

资源限制

网络 ACL 的资源限制如下表所示:

资源 限制
每个私有网络内网络 ACL 数 50 个
每个网络 ACL 中规则数 入站方向:20 条
出站方向:20 条
每个子网关联的网络 ACL 个数 1 个
每个网络 ACL 关联的子网个数 无限制

计费方式

网络 ACL 服务供用户免费使用。
更多私有网络服务价格,请参见 计费概述

操作指南

控制台操作详情,请参见 操作总览

如果有其他疑问,你也可以通过提问形式与我们联系探讨