Ejemplos de configuración de ACL de red
Esta sección proporciona ejemplos para configurar ACL de red.
- Denegar el acceso desde un puerto específico
- Permitir el acceso desde puertos y protocolos específicos
- Denegar el acceso desde una dirección IP específica
Denegar el acceso desde un puerto específico
Es posible que desee bloquear TCP 445 para protegerse contra los ataques de ransomware WannaCry. Puede agregar una regla de ACL de red para denegar todo el tráfico entrante desde el puerto TCP 445.
Configuraciones de ACL de red
Dirección |
Acción |
Protocolo |
Fuente |
Rango de puertos de origen |
Destino |
Rango de puertos de destino |
Descripción |
---|---|---|---|---|---|---|---|
Entrante |
Deny |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
445 |
Deniega el tráfico entrante de cualquier dirección IP a través del puerto TCP 445. |
Entrante |
Allow |
All |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
All |
Permite todo el tráfico entrante. |
![](https://support.huaweicloud.com/intl/es-us/usermanual-vpc/public_sys-resources/note_3.0-es-us.png)
- De forma predeterminada, un ACL de red niega todo el tráfico entrante. Es necesario permitir todo el tráfico entrante si es necesario.
- Si desea que una regla de denegación coincida primero, inserte la regla de denegación encima de la regla de permiso. Para más detalles, consulte Cambio de la secuencia de una regla de ACL de red.
Permitir el acceso desde puertos y protocolos específicos
En este ejemplo, un ECS en una subred se utiliza como servidor web, y debe permitir el tráfico entrante desde el puerto HTTP 80 y el puerto HTTPS 443 y permitir todo el tráfico saliente. Es necesario configurar tanto las reglas de ACL de red como las reglas del grupo de seguridad para permitir el tráfico.
Configuraciones de ACL de red
Tabla 2 enumera la regla de entrada requerida.
Dirección |
Acción |
Protocolo |
Fuente |
Rango de puertos de origen |
Destino |
Rango de puertos de destino |
Descripción |
---|---|---|---|---|---|---|---|
Entrante |
Allow |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
80 |
Permite el tráfico HTTP entrante desde cualquier dirección IP a los ECS en la subred a través del puerto 80. |
Entrante |
Allow |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
443 |
Permite el tráfico HTTPS entrante desde cualquier dirección IP a los ECS en la subred a través del puerto 443. |
Saliente |
Allow |
All |
0.0.0.0/0 |
All |
0.0.0.0/0 |
All |
Permite todo el tráfico saliente de la subred. |
Configuración del grupo de seguridad
Tabla 3 enumera las reglas de grupo de seguridad entrante y saliente requeridas.
Dirección |
Protocolo/Aplicación |
Puerto |
Origen/Destino |
Descripción |
---|---|---|---|---|
Entrante |
TCP |
80 |
Origen: 0.0.0.0/0 |
Permite el tráfico HTTP entrante desde cualquier dirección IP a los ECS asociados con el grupo de seguridad a través del puerto 80. |
Entrante |
TCP |
443 |
Origen: 0.0.0.0/0 |
Permite el tráfico HTTPS entrante desde cualquier dirección IP a los ECS asociados con el grupo de seguridad a través del puerto 443. |
Saliente |
All |
All |
Destino: 0.0.0.0/0 |
Permite todo el tráfico saliente del grupo de seguridad. |
Un ACL de red agrega una capa adicional de seguridad. Incluso si las reglas del grupo de seguridad permiten más tráfico del que realmente se requiere, las reglas de ACL de red solo permiten el acceso desde el puerto HTTP 80 y el puerto HTTPS 443 y niegan otro tráfico entrante.
Denegar el acceso desde una dirección IP específica
En este ejemplo, puede agregar una regla de ACL de red para denegar el acceso desde algunas direcciones IP anormales, por ejemplo, 192.168.1.102.
Configuraciones de ACL de red
Dirección |
Acción |
Protocolo |
Fuente |
Rango de puertos de origen |
Destino |
Rango de puertos de destino |
Descripción |
---|---|---|---|---|---|---|---|
Entrante |
Deny |
TCP |
192.168.1.102/32 |
1-65535 |
0.0.0.0/0 |
Todos |
Deniega el acceso desde 192.168.1.102. |
Entrante |
Allow |
All |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
Todos |
Permite todo el tráfico entrante. |
![](https://support.huaweicloud.com/intl/es-us/usermanual-vpc/public_sys-resources/note_3.0-es-us.png)
- De forma predeterminada, un ACL de red niega todo el tráfico entrante. Es necesario permitir todo el tráfico entrante si es necesario.
- Si desea que una regla de denegación coincida primero, inserte la regla de denegación encima de la regla de permiso. Para más detalles, consulte Cambio de la secuencia de una regla de ACL de red.