[专有网络VPC]创建和管理网络ACL

在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后，您可以将网络ACL与交换机绑定，实现对交换机中的网络实例流量的访问控制。

前提条件

• 您已经创建了专有网络VPC和交换机。

• 当您创建IPv6类型的网络ACL规则时，您需要为VPC开通IPv6网段。

注意事项

IPv4和IPv6自定义规则最多可分别配置20条规则，如需提升配额，请您前往配额中心申请。

创建网络ACL

1. 登录专有网络管理控制台。
2. 在左侧导航栏，选择访问控制 > 网络ACL。

3. 在顶部菜单栏处，选择要创建网络ACL的地域。在网络ACL页面，单击创建网络ACL。

4. 在创建网络ACL对话框，配置以下信息，其他参数可保持默认值或根据实际情况修改。

   配置	说明
   所属专有网络	选择网络ACL所属的专有网络。 说明 要关联的专有网络的地域必须与网络ACL的地域相同。

添加网络ACL规则

创建网络ACL后，您可以为网络ACL添加入方向规则，管控公网或私网对交换机中ECS实例的访问。您也可以为网络ACL添加出方向规则，管控交换机中的ECS实例对公网或私网的访问。

重要

网络ACL的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。

1. 在网络ACL页面，找到目标网络ACL，单击网络ACL的ID。

2. 在网络ACL基本信息区域，您可以设置入方向规则或出方向规则。

   • 设置入方向规则

     1. 单击入方向规则页签，然后单击管理入方向规则。

     2. 根据以下信息配置入方向规则，然后单击确定。

        配置	说明
        优先级	入方向规则的生效顺序。 数字越小，优先级越高，最多可配置20条规则。更多信息，请参见规则生效顺序。
        规则名称	输入入方向规则的名称。
        类型	当您创建IPv6类型的网络ACL规则后，入方向规则有以下类型： 云服务：系统默认创建3条接受的云服务规则，优先级固定最高且不能修改或删除。 自定义：系统默认创建2条全放通的自定义规则，您可以选择删除或修改这两条自定义规则。 系统：默认创建2条全拒绝的系统规则，优先级固定最低且不能修改或删除。 当您创建仅支持IPv4类型的网络ACL规则后，系统默认创建一条IPv4类型的全放通自定义规则。 说明 您只能创建自定义的IPv4或IPv6入方向规则。
        策略	选择入方向规则的授权策略： 允许：允许访问交换机中ECS实例。 拒绝：拒绝访问交换机中ECS实例。
        协议类型	选择协议类型，支持以下类型： ALL：所有协议。 ICMP：网络控制报文协议。 GRE：通用路由封装协议。 TCP：传输控制协议。 UDP：用户数据报协议。 ICMPv6：IPv6网络控制报文协议。仅支持选择IPv6网段类型。
        IP网段类型	选择IP网段类型。取值： IPv4。 IPv6。
        源地址	设置数据流的源地址网段。 默认为0.0.0.0/0。
        目的端口范围	输入入方向规则的目的端口范围。 端口范围为1~65535。使用正斜线（/）隔开起始端口和终止端口，格式为1/200、80/80，其中-1/-1不能单独设置，代表不限制端口。 当选择ALL、ICMP、GRE协议类型时，端口范围无法设置，为-1/-1；当选择TCP、UDP协议类型时，端口范围为1~65535。设置格式为1/200或80/80，且不能设置为-1/-1。

     3. （可选）您可以在入方向规则页签底部单击添加IPv4规则或添加IPv6规则添加一条自定义的入方向IPv4或IPv6规则。

   • 设置出方向规则

     1. 单击出方向规则页签，然后单击管理出方向规则。

     2. 根据以下信息配置出方向规则，然后单击确定。

        配置	说明
        优先级	出方向规则的生效顺序。 数字越小，优先级越高，最多可配置20条规则。更多信息，请参见规则生效顺序。
        规则名称	输入出方向规则的名称。
        类型	当您创建IPv6类型的网络ACL规则后，出方向规则有以下类型： 云服务：系统默认创建3条接受的云服务规则，优先级固定最高且不能修改或删除。 自定义：系统默认创建2条全放通的自定义规则，您可以选择删除或修改这两条自定义规则。 系统：默认创建2条全拒绝的系统规则，优先级固定最低且不能修改或删除。 当您创建仅支持IPv4类型的网络ACL规则后，系统默认创建一条IPv4类型的全放通自定义规则。 说明 您仅可以创建自定义的IPv4或IPv6出方向规则。
        策略	选择出方向规则的授权策略： 允许：允许交换机中的ECS实例访问公网或私网。 拒绝：拒绝交换机中的ECS实例访问公网或私网。
        协议类型	选择协议类型，支持以下类型： ALL：所有协议。 ICMP：网络控制报文协议。 GRE：通用路由封装协议。 TCP：传输控制协议。 UDP：用户数据报协议。 ICMPv6：IPv6网络控制报文协议。仅支持选择IPv6网段类型。
        IP网段类型	选择IP网段类型。取值： IPv4。 IPv6。
        目的地址	输入数据流的目的地址网段。 默认为0.0.0.0/32。
        目的端口范围	输入出方向规则的目的端口范围。 端口范围为1~65535。使用正斜线（/）隔开起始端口和终止端口，格式为1/200、80/80，其中-1/-1不能单独设置，代表不限制端口。

     3. （可选）您可以在出方向规则页签底部单击添加IPv4规则或添加IPv6规则添加一条自定义的出方向IPv4或IPv6规则。

快速添加多网段网络ACL规则

如果您需要对多个IP地址段进行统一的网络访问控制时，您可以使用快速添加多网段网络ACL功能，使用该功能可以简化业务配置并确保一致的安全策略。

1. 在网络ACL页面，找到目标网络ACL，单击网络ACL的ID。

2. 在网络ACL基本信息区域，您可以快速添加多个网段的入方向规则或出方向规则。

   • 快速添加入方向规则

     1. 单击入方向规则页签，然后单击管理入方向规则。

     2. 在页签底部单击快速添加规则，在快速添加对话框中，根据以下信息配置入方向规则，然后单击确定。

        配置	说明
        策略	选择入方向规则的授权策略： 允许：允许访问交换机中ECS实例。 拒绝：拒绝访问交换机中ECS实例。
        IP地址	输入数据流的一个或多个源IPv4网段。
        目的端口范围	选择入方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明，请参见典型应用。 端口范围为1~65535。使用正斜线（/）隔开起始端口和终止端口，格式为1/200、80/80，其中-1/-1不能单独设置，代表不限制端口。
        优先级	选择生效顺序，指定自定义规则插入的位置。关于优先级的更多信息，请参见网络ACL概述。 例如，如果插入生效顺序为1的自定义规则后面，则需要输入增加在第1条后。

     3. 根据需要设置规则名称、协议类型（默认创建TCP协议类型的规则）等信息，然后单击确定。

   • 快速添加出方向规则

     1. 单击出方向规则页签，然后单击管理出方向规则。

     2. 在页签底部单击快速添加规则，在快速添加对话框中，根据以下信息配置出方向规则，然后单击确定。

        配置	说明
        策略	选择出方向规则的授权策略： 允许：允许交换机中的ECS实例访问公网或私网。 拒绝：拒绝交换机中的ECS实例访问公网或私网。
        IP地址	输入数据流的一个或多个目的IPv4网段。
        目的端口范围	选择出方向规则的目的端口范围。 端口范围为1~65535。关于各个端口的详细说明，请参见典型应用。 端口范围为1~65535。使用正斜线（/）隔开起始端口和终止端口，格式为1/200、80/80，其中-1/-1不能单独设置，代表不限制端口。
        优先级	选择生效顺序，指定自定义规则插入的位置。关于优先级的更多信息，请参见网络ACL概述。 例如，如果插入生效顺序为1的自定义规则后面，则需要输入增加在第1条后。

     3. 根据需要设置规则名称、协议类型（默认创建TCP协议类型的规则）等信息，然后单击确定。

更多操作

1. 登录专有网络管理控制台。
2. 在左侧导航栏，选择访问控制 > 网络ACL。
3. 在顶部菜单栏，选择网络ACL的地域。

4. 在网络ACL页面，您可以根据需要进行如下操作。

   配置	说明
   调整规则顺序	网络ACL按照规则生效顺序执行规则，生效顺序的值越小，优先级越高。您可以为规则排序来指定规则执行的先后顺序。 找到目标网络ACL，单击网络ACL的实例ID。 在网络ACL基本信息页面，您可以调整入方向规则或出方向规则的顺序。 调整入方向规则顺序 单击入方向规则页签，然后单击管理入方向规则。 上下拖动规则，然后单击确定。 调整出方向规则顺序 单击出方向规则页签，然后单击管理出方向规则。 上下拖动规则，然后单击确定。
   绑定网络ACL至交换机	将网络ACL绑定至交换机前，请确保满足以下条件： 您已经创建了网络ACL并添加了网络ACL规则。 交换机所属的VPC与要绑定的网络ACL所属的VPC相同。 找到目标网络ACL，然后在操作列单击关联交换机。 在已绑定资源页签下，单击关联交换机。 在关联交换机对话框，选择需要绑定的交换机，然后单击确定关联。 网络ACL仅允许绑定所属VPC内的交换机，且每个交换机仅允许绑定一个网络ACL。
   解绑网络ACL与交换机	您可以解除网络ACL与交换机的绑定关系，解除后，网络ACL将不再管控交换机中的ECS实例的流量。 找到目标网络ACL，然后在操作列单击关联交换机。 在已绑定资源页签下，找到需要解绑网络ACL的交换机，在操作列单击解绑。 在解绑网络ACL对话框中，单击确定。
   删除网络ACL	您可以删除网络ACL，删除前必须解绑网络ACL关联的交换机。 找到目标网络ACL，然后在操作列单击删除。 在删除网络ACL对话框中，单击确定。

如果您了解ECS实例的常用端口，您可以更准确的添加网络ACL（Network Access Control List）规则。本文为您介绍ECS实例常用端口及常用端口的典型应用。

常用端口列表

常用端口及服务如下表所示。

端口	服务	说明
21	FTP	FTP服务所开放的端口，用于上传、下载文件。
22	SSH	SSH端口，用于通过命令行模式使用用户名密码验证连接Linux实例。
23	Telnet	Telnet端口，用于Telnet远程登录ECS实例。
25	SMTP	SMTP服务所开放的端口，用于发送邮件。
80	HTTP	用于HTTP服务提供访问功能，例如，IIS、Apache、Nginx等服务。
110	POP3	用于POP3协议，POP3是电子邮件接收的协议。
143	IMAP	用于IMAP（Internet Message Access Protocol）协议，IMAP是用于接收电子邮件的协议。
443	HTTPS	用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。
1433	SQL Server	SQL Server的TCP端口，用于供SQL Server对外提供服务。
1434	SQL Server	SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。
1521	Oracle	Oracle通信端口，ECS实例上部署了Oracle SQL需要放行的端口。
3306	MySQL	MySQL数据库对外提供服务的端口。
3389	Windows Server Remote Desktop Services	Windows Server Remote Desktop Services（远程桌面服务）端口，可以通过这个端口使用软件连接Windows实例。
8080	代理端口	同80端口，8080端口常用于WWW代理服务，实现网页浏览。

自定义网络ACL

入方向规则和出方向规则显示了一个仅支持IPv4的VPC的网络ACL示例。其中：

• 生效顺序1、2、3、4的入方向规则分别为允许HTTP、HTTPS、SSH、RDP数据流进入交换机的规则，出方向响应规则为生效顺序3的出方向规则。
• 生效顺序1、2的出方向规则分别为允许HTTP和HTTPS流量离开交换机的规则，入方向响应规则为生效顺序5的入方向规则。
• 生效顺序6的入方向规则为拒绝所有入方向IPv4流量，该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。
• 生效顺序4的出方向规则为拒绝所有出方向IPv4流量，该规则会确保在数据包不匹配任何其他规则时拒绝此数据包。

说明

无论是入方向规则还是出方向规则，请确保每一条规则都存在允许响应流量的相应入方向或出方向规则。

表 1. 入方向规则

生效顺序	协议类型	源地址	目的端口范围	策略	说明
1	tcp	0.0.0.0/0	80/80	允许	允许来自任意IPv4地址的HTTP流量。
2	tcp	0.0.0.0/0	443/443	允许	允许来自任意IPv4地址的HTTPS流量。
3	tcp	0.0.0.0/0	22/22	允许	允许来自任意IPv4地址的SSH流量。
4	tcp	0.0.0.0/0	3389/3389	允许	允许来自任意IPv4地址的RDP流量。
5	tcp	0.0.0.0/0	32768/65535	允许	允许来自任意IPv4的地址访问端口范围为32768～65535的TCP流量。 此端口范围仅为示例。有关如何选择适当的临时端口的更多信息，请参见临时端口。
6	all	0.0.0.0/0	-1/-1	拒绝	拒绝所有入方向IPv4流量。

表 2. 出方向规则

生效顺序	协议类型	目标地址	目的端口范围	策略	说明
1	tcp	0.0.0.0/0	80/80	允许	允许出方向IPv4 HTTP流量从交换机流向互联网。
2	tcp	0.0.0.0/0	443/443	允许	允许出方向IPv4 HTTPS流量从交换机流向互联网。
3	tcp	0.0.0.0/0	32768/65535	允许	允许对互联网客户端的出站IPv4响应。 此端口范围仅为示例。有关如何选择适当的临时端口的更多信息，请参见临时端口。
4	all	0.0.0.0/0	-1/-1	拒绝	拒绝所有出方向IPv4流量。

负载均衡的网络ACL

绑定网络ACL的交换机中的ECS作为负载均衡SLB的后端服务器时，您需要添加如下网络ACL规则。

• 入方向规则

  生效顺序	协议类型	源地址	目的端口范围	策略	说明
  1	SLB监听协议	允许接入SLB的客户端IP	SLB监听端口	允许	在SLB监听端口上允许来自指定客户端IP的入方向流量。
  2	健康检查协议	100.64.0.0/10	健康检查端口	允许	在健康检查端口上允许来自健康检查地址的入方向流量。

• 出方向规则

  生效顺序	协议类型	目标地址	目的端口范围	策略	说明
  1	all	允许接入SLB的客户端IP	-1/-1	允许	允许所有流向指定客户端IP的出方向流量。
  2	all	100.64.0.0/10	-1/-1	允许	允许所有流向健康检查地址的出方向流量。

临时端口

不同类型的客户端发起请求时使用的端口不同，您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。

客户端	端口范围
Linux	32768/61000
Windows Server 2003	1025/5000
Windows Server 2008及更高版本	49152/65535
NAT网关	1024/65535