网络ACL

网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。

网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。

网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。

以下图为例，

如下图所示。

图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPC-X有两个子网，子网Subnet-X01关联网络ACL Fw-A，Subnet-X01内部署的实例面向互联网提供Web服务。子网Subnet-X02关联网络ACL Fw-B，基于对等连接连通Subnet-X02和Subnet-Y01的网络，通过Subnet-Y01内的实例远程登录Subnet-X02内的实例。

Fw-A的规则说明：

入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问Subnet-X01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。

网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此Subnet-X01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。

Fw-B的规则说明：

入方向自定义规则，允许来自Subnet-Y01的流量，通过TCP (SSH)协议访问子网Subnet-X02内实例的22端口。

出方向自定义规则，放通ICMP协议全部端口，当在Subnet-X02内实例ping测试网络连通性时，允许去往Subnet-Y01的流量流出子网。

说明
图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

网络ACL规则

网络ACL中包括入方向规则和出方向规则，用来控制VPC子网入方向和出方向的网络流量。

• 入方向规则：控制外部请求访问子网内的实例，即流量流入子网。
• 出方向规则：控制子网内实例访问外部的请求，即流量流出子网。

网络ACL规则由协议、源端口/目的端口、源地址/目的地址等组成，关键信息说明如下：

• 生效顺序：网络ACL规则按照生效顺序依次排列，序号越小，排序越靠前，表示流量优先匹配该规则。默认网络ACL规则的序号为*，排在末尾，表示流量最后匹配该规则。
• 状态：网络ACL规则有“启用”和“停用”状态。启用时，网络ACL规则生效，停用时，网络ACL规则不生效。
• 类型：支持设置IPv4和IPv6协议的规则。
• 策略：支持允许或拒绝。当流量的协议、源端口/目的端口、源地址/目的地址成功匹配某个网络ACL规则后，会对流量执行规则对应的策略，允许或拒绝流量。
• 协议：匹配流量的网络协议类型，支持TCP、UDP、ICMP协议。
• 源地址/目的地址：匹配流量的源地址或者目的地址。您可以使用IP地址和IP地址组作为源地址或者目的地址。
• 源端口范围/目的端口范围：匹配流量的源端口或者目的端口，取值范围为1～65535。

网络ACL及规则的工作原理

网络ACL创建完成后，需要将网络ACL关联至目标子网，网络ACL规则才能控制出入该子网的流量。网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。

网络ACL是有状态的。如果您从实例发送一个出站请求，且该网络ACL的出方向规则是放通的话，那么无论其入方向规则如何，都将允许该出站请求的响应流量流入。同理，如果该网络ACL的入方向规则是放通的，那无论出方向规则如何，都将允许该入站请求的响应流量可以流出。

网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。当您在网络ACL内增加、删除、更新规则，或者在网络ACL内添加、移出子网时，由入方向/出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接，将会匹配新的网络ACL出方向规则。

注意
对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下：
不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。
TCP协议处于不同状态下连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FIN-WAIT（连接即将关闭）状态时，老化时间是30s。

在网络ACL中，存在如下表所示的默认规则。当网络ACL中没有其他允许流量出入的自定义规则时，则匹配默认规则，拒绝任何流量流入或流出子网。在您将网络ACL关联至目标子网时，请确保已添加自定义规则放通业务流量，或者子网内无实际业务，避免默认规则造成业务流量中断。

网络ACL规则不会匹配筛选下表中的流量，即对应的流量被允许流入或者流出子网，不受网络ACL默认规则以及自定义规则限制。

流量匹配网络ACL规则的顺序

一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，流量按照规则的生效顺序进行匹配。序号越小，排序越靠前，越先执行该规则。默认网络ACL规则的序号为*，排在末尾，流量最后匹配该规则。

以入方向的流量为例，子网的网络流量将按照以下原则匹配网络ACL规则，入方向和出方向的流量匹配顺序相同。

当流量匹配上自定义规则，则根据规则策略决定流量走向。

• 当策略为拒绝时，则拒绝该流量流入子网。
• 当策略为允许时，则允许该流量流入子网。

当流量未匹配上任何自定义规则，则执行默认规则，拒绝流量流入子网。

网络ACL的使用限制

• 在一个资源节点内，单个用户默认最多可以创建200个网络ACL，超过此数量后，有可能造成您所配置的网络ACL失效。
• 在一个资源节点内，单个用户建议创建最多200条ACL规则，超过此数量后，有可能造成您所配置的ACL规则失效。
• 建议一个网络ACL单方向拥有的规则数量不要超过20条，否则会引起网络ACL性能下降。
• 在一个网络ACL的入方向中，最多可以有124条规则关联IP地址组，出方向同理。
• 在一个网络ACL中，对于入方向规则来说，源地址是IP地址组的规则数量+目的地址是IP地址组的规则数量+源端口是不连续端口号的规则数量+目的端口是不连续端口号的规则数量 ≤ 120条，否则超过数量的网络ACL规则将不生效。当同时存在IPv4和IPv6类型的网络ACL规则时，两种类型的网络ACL规则单独计算，即IPv4规则和IPv6规则可以各有120条。

对于网络ACL出方向规则来说，源地址、目的地址、源端口和目的端口存在一样的限制。

以网络ACLFw-A的入方向IPv4规则为例，下表中提供了部分符合限制条件的规则供您参考。其中，当一条网络ACL规则同时符合多个限制时，比如规则A02即使用了不连续端口作为源端口，又使用了IP地址组作为源地址，此时只占用一条配额。

入方向网络ACL规则说明表

当您的组网中，ELB实例的监听器开启“获取客户端IP”功能时，来自ELB的流量将不受网络ACL和安全组规则的限制。比如规则已明确拒绝来自ELB实例的流量进入后端云主机，此时该规则无法拦截来自ELB的流量，流量依然会抵达后端云主机。