更新时间:2024-04-15 GMT+08:00

VPC访问控制概述

虚拟私有云VPC是您在云上的私有网络,通过配置安全组和网络ACL策略,可以保障VPC内部署的实例安全运行,比如弹性云服务器、数据库、云容器等。
  • 安全组对实例进行防护,将实例加入安全组内后,该实例将会受到安全组的保护。
  • 网络ACL对整个子网进行防护,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。相比安全组,网络ACL的防护范围更大。

安全组和网络ACL的应用示例如图1所示。本示例中,安全组A和安全组B可以保护其中ECS的网络安全,通过网络ACL A和网络ACL B,可以分别保护整个子网1和子网2的安全,双层防护提升安全保障。

图1 安全组与网络ACL

安全组与网络ACL的区别说明

表1为您提供了安全组和网络ACL的详细区别。
表1 安全组和网络ACL区别

对比项

安全组

网络ACL

防护范围

实例级别:防护安全组内的实例,比如弹性云服务器、数据库、云容器实例等。

子网级别:防护整个子网,子网内的所有实例都会受到网络ACL的保护。

是否必选

必选,实例必须至少加入到一个安全组内。

非必选,您可以根据业务需求选择是否为子网关联网络ACL

配置策略

不支持允许、拒绝策略。

支持允许、拒绝策略。

规则生效顺序

多个规则冲突,取其并集生效。

多个规则冲突,优先级高的规则生效,优先级低的不生效。

应用操作

  • 创建实例(比如弹性云服务器)时,必须选择一个安全组,如果当前用户名下没有安全组,则系统会自动创建默认安全组。
  • 实例创建完成后,您可以执行以下操作:
    • 在安全组控制台,添加/移出实例。
    • 在实例控制台,为实例添加/移除安全组。

创建子网没有网络ACL选项,需要先创建网络ACL,添加出入规则,并在网络ACL内关联子网。当网络ACL状态为已开启,将会对子网生效。

报文组

支持报文三元组(即协议、端口和源/目的地址)过滤。

支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。