网络ACL是专有网络VPC中的网络访问控制功能。您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中ECS实例流量的访问控制。

任务

创建网络ACL

您已经创建了专有网络。具体操作,请参见使用专有网络

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择要创建网络ACL的地域。
    网络ACL功能支持的地域信息,请参见功能发布及地域支持情况
  4. 网络ACL页面,单击创建网络ACL
  5. 创建网络ACL对话框,根据以下信息配置网络ACL,然后单击确定
    配置 说明
    专有网络 选择网络ACL所属的专有网络。
    说明 要关联的专有网络的地域必须与网络ACL的地域相同。

    如果专有网络中含有以下ECS实例规格族中的任一实例,则不支持为该专有网络创建网络ACL。

    ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4

    如需创建网络ACL,请升级不支持VPC高级功能的ECS实例的规格或释放不支持VPC高级功能的ECS实例。 更多关于VPC高级功能的信息,请参见VPC高级功能
    说明 如果您的VPC中含有ECS实例规格族限制中的任一实例,且您已经创建了网络ACL,为了保证正常使用网络ACL功能,请升级ECS实例规格或释放ECS实例。
    名称 网络ACL的名称。

    名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    描述 网络ACL的描述。

    描述长度为2~256个字符,不能以http://https://开头。

添加网络ACL规则

创建网络ACL后,您可以为网络ACL添加入方向规则,管控公网或私网对交换机中ECS实例的访问。您也可以为网络ACL添加出方向规则,管控交换机中的ECS实例对公网或私网的访问。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息页面,您可以设置入方向规则或出方向规则。
    • 设置入方向规则
      1. 入方向规则页签下,单击管理入方向规则
      2. 根据以下信息配置入方向规则,然后单击确定
        配置 说明
        优先级 入方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序

        规则名称 入方向规则的名称。

        长度为2~128个字符,必须以字母或中文开头,可包含数字、下划线(_)和短划线(-),但不能以http://https://开头。

        策略 选择入方向规则的授权策略:
        • 允许:允许访问交换机中ECS实例。
        • 拒绝:拒绝访问交换机中ECS实例。
        协议类型 选择传输层协议,支持选择以下协议:
        • ALL:所有协议。
        • ICMP:网络控制报文协议。
        • GRE:通用路由封装协议。
        • TCP:传输控制协议。
        • UDP:用户数据报协议。
        源地址 数据流的源地址网段。

        默认为0.0.0.0/32。

        源端口范围 输入源端口范围。

        端口范围为1~65535,使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

    • 设置出方向规则
      1. 出方向规则页签下,单击管理出方向规则
      2. 根据以下信息配置出方向规则,然后单击确定
        配置 说明
        优先级 出方向规则的生效顺序。

        数字越小,优先级越高,最多可配置20条规则。更多信息,请参见规则生效顺序

        规则名称 出方向规则的名称。

        名称长度为2~128个字符,必须以字母或中文开头,可包含数字、下划线(_)和短划线(-),但不能以http://https://开头。

        策略 选择出方向规则的授权策略:
        • 允许:允许交换机中的ECS实例访问公网或私网。
        • 拒绝:拒绝交换机中的ECS实例访问公网或私网。
        协议类型 选择传输层协议,支持选择以下协议:
        • ALL:所有协议。
        • ICMP:网络控制报文协议。
        • GRE:通用路由封装协议。
        • TCP:传输控制协议。
        • UDP:用户数据报协议。
        目标地址 数据流的目标地址网段。

        默认为0.0.0.0/32。

        目标端口范围 输入目标端口范围。

        端口范围为1~65535,使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80,其中-1/-1不能单独设置,代表不限制端口。

调整规则顺序

网络ACL按照规则生效顺序执行规则,生效顺序的值越小,优先级越高。您可以为规则排序来指定规则执行的先后顺序。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 网络ACL基本信息页面,您可以调整入方向规则或出方向规则的顺序。
    • 调整入方向规则顺序
      1. 入方向规则页签下,单击管理入方向规则
      2. 上下拖动规则,然后单击确定
    • 调整出方向规则顺序
      1. 出方向规则页签下,单击管理出方向规则
      2. 上下拖动规则,然后单击确定

绑定网络ACL绑定到交换机

将网络ACL绑定到交换机前,请确保满足以下条件:
  • 您已经创建了网络ACL并添加网络ACL规则。
  • 您已经创建了交换机,且交换机所属的VPC与要绑定的网络ACL所属的VPC相同。具体操作,请参见使用交换机
  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击操作列下的关联交换机
  5. 已绑定资源页签下,单击关联交换机
  6. 关联交换机面板,选择需要绑定的交换机,然后单击确定关联
    网络ACL仅允许绑定所属VPC内的交换机,且每个交换机仅允许绑定一个网络ACL。

解绑网络ACL与交换机

您可以解除网络ACL与交换机的绑定关系,解除后,网络ACL将不再管控交换机中的ECS实例的流量。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击操作列下的关联交换机
  5. 关联交换机页签下,找到需要解绑网络ACL的交换机,单击操作列下的解绑
  6. 解绑网络ACL对话框中,单击确定

删除网络ACL

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击操作列下的删除
  5. 删除网络ACL对话框中,单击确定