Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda> Virtual Private Cloud> Guía del usuario> Seguridad> ACL de red> Ejemplos de configuración de ACL de red

Actualización más reciente 2023-01-11 GMT+08:00

Ver PDF

Ejemplos de configuración de ACL de red

Esta sección proporciona ejemplos para configurar ACL de red.

Denegar el acceso desde un puerto específico
Permitir el acceso desde puertos y protocolos específicos
Denegar el acceso desde una dirección IP específica

Denegar el acceso desde un puerto específico

Es posible que desee bloquear TCP 445 para protegerse contra los ataques de ransomware WannaCry. Puede agregar una regla de ACL de red para denegar todo el tráfico entrante desde el puerto TCP 445.

Configuraciones de ACL de red

Tabla 1 enumera la regla de entrada requerida.

**Tabla 1** Reglas de ACL de red
Dirección	Acción	Protocolo	Fuente	Rango de puertos de origen	Destino	Rango de puertos de destino	Descripción
Entrante	Deny	TCP	0.0.0.0/0	1-65535	0.0.0.0/0	445	Deniega el tráfico entrante de cualquier dirección IP a través del puerto TCP 445.
Entrante	Allow	All	0.0.0.0/0	1-65535	0.0.0.0/0	All	Permite todo el tráfico entrante.

De forma predeterminada, un ACL de red niega todo el tráfico entrante. Es necesario permitir todo el tráfico entrante si es necesario.
Si desea que una regla de denegación coincida primero, inserte la regla de denegación encima de la regla de permiso. Para más detalles, consulte Cambio de la secuencia de una regla de ACL de red.

Permitir el acceso desde puertos y protocolos específicos

En este ejemplo, un ECS en una subred se utiliza como servidor web, y debe permitir el tráfico entrante desde el puerto HTTP 80 y el puerto HTTPS 443 y permitir todo el tráfico saliente. Es necesario configurar tanto las reglas de ACL de red como las reglas del grupo de seguridad para permitir el tráfico.

Configuraciones de ACL de red

Tabla 2 enumera la regla de entrada requerida.

**Tabla 2** Reglas de ACL de red
Dirección	Acción	Protocolo	Fuente	Rango de puertos de origen	Destino	Rango de puertos de destino	Descripción
Entrante	Allow	TCP	0.0.0.0/0	1-65535	0.0.0.0/0	80	Permite el tráfico HTTP entrante desde cualquier dirección IP a los ECS en la subred a través del puerto 80.
Entrante	Allow	TCP	0.0.0.0/0	1-65535	0.0.0.0/0	443	Permite el tráfico HTTPS entrante desde cualquier dirección IP a los ECS en la subred a través del puerto 443.
Saliente	Allow	All	0.0.0.0/0	All	0.0.0.0/0	All	Permite todo el tráfico saliente de la subred.

Configuración del grupo de seguridad

Tabla 3 enumera las reglas de grupo de seguridad entrante y saliente requeridas.

**Tabla 3** Reglas de grupos de seguridad
Dirección	Protocolo/Aplicación	Puerto	Origen/Destino	Descripción
Entrante	TCP	80	Origen: 0.0.0.0/0	Permite el tráfico HTTP entrante desde cualquier dirección IP a los ECS asociados con el grupo de seguridad a través del puerto 80.
Entrante	TCP	443	Origen: 0.0.0.0/0	Permite el tráfico HTTPS entrante desde cualquier dirección IP a los ECS asociados con el grupo de seguridad a través del puerto 443.
Saliente	All	All	Destino: 0.0.0.0/0	Permite todo el tráfico saliente del grupo de seguridad.

Un ACL de red agrega una capa adicional de seguridad. Incluso si las reglas del grupo de seguridad permiten más tráfico del que realmente se requiere, las reglas de ACL de red solo permiten el acceso desde el puerto HTTP 80 y el puerto HTTPS 443 y niegan otro tráfico entrante.

Denegar el acceso desde una dirección IP específica

En este ejemplo, puede agregar una regla de ACL de red para denegar el acceso desde algunas direcciones IP anormales, por ejemplo, 192.168.1.102.

Configuraciones de ACL de red

Tabla 4 enumera las reglas de entrada requeridas.

**Tabla 4** Reglas de ACL de red
Dirección	Acción	Protocolo	Fuente	Rango de puertos de origen	Destino	Rango de puertos de destino	Descripción
Entrante	Deny	TCP	192.168.1.102/32	1-65535	0.0.0.0/0	Todos	Deniega el acceso desde 192.168.1.102.
Entrante	Allow	All	0.0.0.0/0	1-65535	0.0.0.0/0	Todos	Permite todo el tráfico entrante.

De forma predeterminada, un ACL de red niega todo el tráfico entrante. Es necesario permitir todo el tráfico entrante si es necesario.
Si desea que una regla de denegación coincida primero, inserte la regla de denegación encima de la regla de permiso. Para más detalles, consulte Cambio de la secuencia de una regla de ACL de red.

Tema principal: ACL de red

Tema anterior: Descripción de ACL de red

Tema siguiente: Creación de una ACL de red