- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
-
API参考
- 使用前必读
- API概览
- 如何调用API
- API
- API V3
- API(OpenStack Neutron V2.0 原生)
- 应用示例
-
权限和授权项
- 策略及授权项说明
- VPC
- 子网
- 端口
- 对等连接
- VPC路由
- 路由表
- 配额
- 私有IP
- 安全组
- 安全组规则
- VPC标签
- 子网标签
- VPC流日志
- 端口(Openstack Neutron API)
- 网络(Openstack Neutron API)
- 子网(Openstack Neutron API)
- 路由器(Openstack Neutron API)
- 网络ACL(Openstack Neutron API)
- 安全组(Openstack Neutron API)
- VPC(API V3)
- 安全组(API V3)
- 安全组规则(API V3)
- IP地址组(API V3)
- 辅助弹性网卡(API V3)
- 流量镜像会话(API V3)
- 流量镜像筛选条件(API V3)
- 流量镜像筛选规则(API V3)
- 网络ACL(API V3)
- 网络ACL标签(API V3)
- 端口(API V3)
- API授权项注意事项
- 常见问题
- 历史API
- 附录
- SDK参考
-
常见问题
- 计费类
- 虚拟私有云与子网类
- 弹性公网IP类
- 对等连接类
- 虚拟IP类
- 带宽类
-
网络连接类
- VPN支持将两个VPC互连吗?
- ECS有多个网卡时,为何无法通过域名访问公网网站及云中的内部域名?
- 同时拥有自定义路由和EIP的ECS访问外网的优先级是什么?
- 本地主机访问使用弹性云服务器搭建的网站出现间歇性中断怎么办?
- 同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办?
- 同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时,如何排查?
- Cloud-init连接出现问题时,如何排查?
- EIP连接出现问题时,如何排查?
- 二三层通信出现问题时,如何排查?
- 裸机网络出现问题时,如何排查?
- 弹性云服务器IP获取不到时,如何排查?
- VPN及专线网络连接出现问题时,如何排查?
- 外网能访问服务器,但是服务器无法访问外网时,如何排查?
- 配置了IPv6双栈,为什么无法访问IPv6网站?
- 弹性云服务器防火墙配置完成后,为什么网络不通?
- 路由类
- 安全类
- 视频帮助
- 产品术语
-
更多文档
- 用户指南(阿布扎比区域)
-
API参考
- 使用前必读
- API概览
- 如何调用API
- 快速入门
- API V1/V2
- API V3
- API(OpenStack Neutron V2.0 原生)
-
权限和授权项
- 策略及授权项说明
- VPC
- 子网
- 端口
- 对等连接
- VPC路由
- 路由表
- 配额
- 私有IP
- 安全组
- 安全组规则
- VPC标签
- 子网标签
- 端口(Openstack Neutron API)
- 网络(Openstack Neutron API)
- 子网(Openstack Neutron API)
- 路由器(Openstack Neutron API)
- 网络ACL(Openstack Neutron API)
- 安全组(Openstack Neutron API)
- VPC(API V3)
- 安全组(API V3)
- 安全组规则(API V3)
- IP地址组(API V3)
- 辅助弹性网卡(API V3)
- 网络ACL(API V3)
- 网络ACL标签(API V3)
- API授权项注意事项
- 历史API
- 附录
- 文档修订记录
-
用户指南(巴黎区域)
- 产品介绍
- 快速入门
- 虚拟私有云和子网
- 访问控制
- 弹性IP
- 共享带宽
- 路由表
- 对等连接
- VPC流日志
- 虚拟IP
- 审计
- 监控
-
常见问题
- 通用类
- 计费类
- 虚拟私有云与子网类
- 弹性IP类
- 对等连接类
- 虚拟IP类
- 带宽类
-
网络连接类
- VPN支持将两个VPC互连吗?
- 弹性云服务器有多个网卡时,为何无法通过域名访问公网网站及云中的内部域名?
- 同时拥有自定义路由和弹性IP的访问外网的优先级是什么?
- 本地主机访问使用弹性云服务器搭建的网站出现间歇性中断怎么办?
- 同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办?
- 同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时,如何排查?
- Cloud-init连接出现问题时,如何排查?
- EIP连接出现问题时,如何排查?
- 弹性云服务器IP获取不到时,如何排查?
- VPN及专线网络连接出现问题时,如何排查?
- 外网能访问服务器,但是服务器无法访问外网时,如何排查?
- 配置了IPv6双栈,为什么无法访问IPv6网站?
- 弹性云服务器防火墙配置完成后,为什么网络不通?
- 路由类
- 安全类
- 修订记录
- API参考 (巴黎区域)
- 用户指南(吉隆坡区域)
- API参考(吉隆坡区域)
- 用户指南(安卡拉区域)
- API参考(安卡拉区域)
- 通用参考
展开导读
链接复制成功!
网络ACL配置示例
介绍常见的网络ACL配置示例。
拒绝特定端口访问
在本示例中,假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。
网络ACL配置
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
拒绝 |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
445 |
拒绝所有IP地址通过TCP 445端口入站访问 |
入方向 |
允许 |
全部 |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
全部 |
放通所有入站流量 |
- 网络ACL默认拒绝所有入站流量,需先放通所有入站流量。
- 当添加了拒绝的规则,并且希望拒绝规则优先匹配时,需要将拒绝的规则放到允许规则的前面,匹配到拒绝规则的流量将会生效。具体操作请参见修改网络ACL规则生效顺序。
允许某些协议端口的访问
在本示例中,假设子网内的某个弹性云服务器做Web服务器,入方向需要放通HTTP 80和HTTPS 443端口,出方向全部放通。当子网开启网络ACL时,需要同时配置网络ACL和安全组规则。
网络ACL配置
需要添加的网络ACL入方向、出方向规则如表2所示。
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
允许 |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
80 |
允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口 |
入方向 |
允许 |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
443 |
允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口 |
出方向 |
允许 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
允许子网内所有出站流量的数据报文通过 |
安全组配置
需要添加的安全组入方向、出方向规则如表3所示。
方向 |
协议/应用 |
端口 |
源地址/目的地址 |
说明 |
---|---|---|---|---|
入方向 |
TCP |
80 |
源地址:0.0.0.0/0 |
允许所有IP地址通过HTTP协议入站访问安全组内的弹性云服务器的80端口 |
入方向 |
TCP |
443 |
源地址:0.0.0.0/0 |
允许所有IP地址通过HTTPS协议入站访问安全组内的弹性云服务器的443端口 |
出方向 |
全部 |
全部 |
目的地址:0.0.0.0/0 |
允许安全组内所有出站流量的数据报文通过 |
网络ACL相当于一个额外的保护层,就算不小心配置了比较宽松的安全组规则,网络ACL规则也仅允许HTTP 80和HTTPS 443的访问,拒绝其他的入站访问流量。