网络ACL定义
网络ACL是一个子网级别的流量防护策略,您可以自定义设置网络ACL规则,并将网络ACL与子网绑定,实现对子网中云服务器实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据。
地域资源池和可用区资源池的网络ACL存在部分区别,如表1所示:
表1 地域资源池和可用区资源池的网络ACL的区别
| 对比项 | 地域资源池 | 可用区资源池 |
|---|---|---|
| 是否存在默认规则 | 不存在默认规则。 | 存在,每个ACL出/入方向各存在两条默认规则。 具体信息可参考“ACL默认规则”。 |
| 创建ACL时是否需要指定子网 | 创建时需要指定子网。 | 创建时无需指定子网,可创建后再关联子网。 |
| ACL与子网之间的对应关系 | 一个子网支持关联一个ACL。 一个ACL支持关联一个子网。 |
一个子网支持关联一个ACL。 一个ACL支持关联多个子网。 |
| 是否支持自定义源/目的地址 | 入方向规则不支持自定义目的地址。 出方向规则不支持自定义源地址。 |
出/入方向规则均支持自定义源/目的地址。 |
网络ACL基本信息
ACL创建后,您可以添加ACL规则自定义访问控制策略,对于多可用区资源池来说,当ACL中没有明确的自定义规则时,系统会采用默认的规则。关联子网后,基于默认安全原则,网络ACL会默认拒绝所有出入子网的流量,直至添加放通规则。对于地域资源池来说,不存在默认规则,当不匹配规则时默认放通全部流量。
基本特性如下:
- 针对可用区资源池,网络ACL与子网之间是一对多的关系,即一个网络ACL可以对多个子网生效,而一个子网同一时间只能关联一个网络ACL。
- 针对地域资源池,ACL与子网是一对一的关系,即一个网络ACL只能对一个子网生效,而一个子网同一时间只能关联一个网络ACL。
- 网络ACL只能在子网级别生效,不能对同一子网内的云主机实例间的流量实现过滤。
- 网络ACL支持多种策略,如允许、拒绝。
- ACL规则的优先级数字越小则优先级越高。
- 对于可用区资源池来说,创建网络ACL后,自动创建出默认规则,它会拒绝所有未明确被允许的访问请求。默认规则为最低优先级,创建自定义规则后,按照优先级顺序执行规则。默认规则不支持修改、删除、启用/停用等操作。
- 对于可用区资源池来说,每个新创建的网络ACL最初都为未激活状态,直到您将ACL与子网关联后才可生效ACL内的规则,实现子网内的流量防控。
- 网络ACL是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。您可以根据实际需求进行灵活的设置。
不同资源池列表见产品简介-资源池区别页面,实际情况以控制台展现为准。
