華為云計(jì)算 云知識(shí) 虛擬私有云VPC網(wǎng)絡(luò)ACL是什么?
虛擬私有云VPC網(wǎng)絡(luò)ACL是什么?
時(shí)間: 2020-03-20 17:10:53
VPC
猜你想看:
實(shí)時(shí)語(yǔ)音識(shí)別 云服務(wù)器配置 CDN是什么意思 視頻點(diǎn)播加速 什么是云桌面

網(wǎng)絡(luò)ACL是一個(gè)子網(wǎng)級(jí)別的可選安全層,通過(guò)與子網(wǎng)關(guān)聯(lián)的出方向/入方向規(guī)則控制出入子網(wǎng)的數(shù)據(jù)流。

網(wǎng)絡(luò)ACL與安全組類似(VPC安全組介紹),都是安全防護(hù)策略,當(dāng)您想增加額外的安全防護(hù)層時(shí),就可以啟用網(wǎng)絡(luò)ACL。安全組只有“允許”策略,但網(wǎng)絡(luò)ACL可以“拒絕”和“允許”,兩者結(jié)合起來(lái),可以實(shí)現(xiàn)更精細(xì)、更復(fù)雜的安全訪問(wèn)控制。

網(wǎng)絡(luò)ACL基本信息

  • 您的VPC默認(rèn)沒(méi)有網(wǎng)絡(luò)ACL。當(dāng)您需要時(shí),可以創(chuàng)建自定義的網(wǎng)絡(luò)ACL并將其與子網(wǎng)關(guān)聯(lián)。關(guān)聯(lián)子網(wǎng)后,網(wǎng)絡(luò)ACL默認(rèn)拒絕所有出入子網(wǎng)的流量,直至添加放通規(guī)則。

  • 網(wǎng)絡(luò)ACL可以關(guān)聯(lián)多個(gè)子網(wǎng),但一個(gè)子網(wǎng)同一時(shí)間只能關(guān)聯(lián)一個(gè)網(wǎng)絡(luò)ACL。

  • 每個(gè)新創(chuàng)建的網(wǎng)絡(luò)ACL最初都為未激活狀態(tài),直至您關(guān)聯(lián)子網(wǎng)為止。

網(wǎng)絡(luò)ACL默認(rèn)規(guī)則

每個(gè)網(wǎng)絡(luò)ACL都包含一組默認(rèn)規(guī)則,如下所示:

  • 默認(rèn)放通同一子網(wǎng)內(nèi)的流量。

  • 默認(rèn)放通目的IP地址為255.255.255.255/32的廣播報(bào)文。用于配置主機(jī)的啟動(dòng)信息。

  • 默認(rèn)放通目的網(wǎng)段為224.0.0.0/24的組播報(bào)文。供路由協(xié)議使用。

  • 默認(rèn)放通目的IP地址為169.254.169.254/32,TCP端口為80的metadata報(bào)文。用于獲取元數(shù)據(jù)。

  • 默認(rèn)放通公共服務(wù)預(yù)留網(wǎng)段資源的報(bào)文,例如目的網(wǎng)段為100.125.0.0/16的報(bào)文。

  • 除上述默認(rèn)放通的流量外,其余出入子網(wǎng)的流量全部拒絕,如表1所示。該規(guī)則不能修改和刪除。

     

    表1 網(wǎng)絡(luò)ACL默認(rèn)規(guī)則

    方向

    優(yōu)先級(jí)

    動(dòng)作

    協(xié)議

    源地址

    目的地址

    說(shuō)明

    入方向

    *

    拒絕

    全部

    0.0.0.0/0

    0.0.0.0/0

    拒絕所有入站流量

    出方向

    *

    拒絕

    全部

    0.0.0.0/0

    0.0.0.0/0

    拒絕所有出站流量

規(guī)則優(yōu)先級(jí)

  • 網(wǎng)絡(luò)ACL規(guī)則的優(yōu)先級(jí)使用“優(yōu)先級(jí)”值來(lái)表示,優(yōu)先級(jí)的值越小,優(yōu)先級(jí)越高,最先應(yīng)用。優(yōu)先級(jí)的值為“*”的是默認(rèn)規(guī)則,優(yōu)先級(jí)最低。

  • 多個(gè)網(wǎng)絡(luò)ACL規(guī)則沖突,優(yōu)先級(jí)高的規(guī)則優(yōu)先生效。若某個(gè)規(guī)則需要優(yōu)先或落后生效,可在對(duì)應(yīng)規(guī)則(需要優(yōu)先或落后于某個(gè)規(guī)則生效的規(guī)則)前面或后面插入此規(guī)則。

應(yīng)用場(chǎng)景

  • 由于應(yīng)用層需要對(duì)外提供服務(wù),因此入方向規(guī)則必須放通所有地址,如何防止惡意用戶的非正常訪問(wèn)呢?

    解決方案:通過(guò)網(wǎng)絡(luò)ACL添加拒絕規(guī)則,拒絕惡意IP的訪問(wèn)。

  • 隔離具有漏洞的應(yīng)用端口,比如Wanna Cry,關(guān)閉445端口

    解決方案:通過(guò)網(wǎng)絡(luò)ACL添加拒絕規(guī)則,拒絕惡意協(xié)議和端口,比如TCP:445端口。

  • 子網(wǎng)內(nèi)的通信無(wú)防護(hù)訴求,僅有子網(wǎng)間的訪問(wèn)限制。

    解決方案:通過(guò)網(wǎng)絡(luò)ACL設(shè)置子網(wǎng)間的訪問(wèn)規(guī)則

  • 對(duì)訪問(wèn)頻繁的應(yīng)用,調(diào)整安全規(guī)則順序,提高性能。

    解決方案:網(wǎng)絡(luò)ACL支持規(guī)則編排,可以把訪問(wèn)頻繁的規(guī)則置頂。

 

虛擬私有云VPC網(wǎng)絡(luò)ACL是什么?

意見(jiàn)反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好 反饋提交失??!請(qǐng)稍后重試!