网络ACL作为对子网可选的安全防护功能,基于网络ACL的规则对子网的出入方向数据流进行控制,实现子网粒度流量的精细化访问控制管理。网络ACL按需创建,其具有VPC属性,网络ACL只可关联其所属VPC下的子网,且每个子网只可关联一个网络ACL。通常可以将具有相同访问控制的多个子网关联到一个网络ACL。
网络ACL可以结合安全组一起使用实现对子网下的虚拟机的双重防护。
网络ACL的访问控制通过ACL规则实现,可以在网络ACL中按需添加ACL规则实现访问控制。
功能特性
- 网络ACL未配置策略规则时,出入方向均默认为允许,若需拒绝则需要添加对应的拒绝策略规则。
- 网络ACL是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。
- 子网可以按需关联到网络ACL,一个子网只能关联一个网络ACL,具有相同访问控制属性的多个子网可以关联到一个网络ACL。
- 默认放通同一子网内的流量。
- 网络ACL策略规则的优先级高于安全组的策略规则。
注意网络ACL已从原来的有状态变更为无状态,对新关联的子网生效。建议出入方向配置相同的策略,同时允许或拒绝。
应用场景
对子网的出入流量做访问控制,可以通过网络ACL实现。
使用限制
限制 | 说明 |
---|---|
子网关联网络ACL数量 | 一个子网可以按需关联网络ACL,但只能关联一个网络ACL。 |
网络ACL默认允许 | 网络ACL默认行为为允许,若需拒绝则需要添加对应的规则。 |