vpc
网络ACL
更新时间:2021/02/09 GMT+08:00
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。
图1 安全组与网络ACL


网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用网络ACL。安全组只有“允许”策略,但网络ACL可以“拒绝”和“允许”,两者结合起来,可以实现更精细、更复杂的安全访问控制。
网络ACL基本信息
- 您的VPC默认没有网络ACL。当您需要时,可以创建自定义的网络ACL并将其与子网关联。关联子网后,网络ACL默认拒绝所有出入子网的流量,直至添加放通规则。
- 网络ACL可以关联多个子网,但一个子网同一时间只能关联一个网络ACL。
- 每个新创建的网络ACL最初都为未激活状态,直至您关联子网为止。
- 网络ACL是有状态的。如果您发送一个出站请求,且该网络ACL的出站规则是放通的话,那么无论其入站规则如何,都将允许该出站请求的响应流量流入。同理,如果您发送一个入站请求,且该网络ACL的入站规则是放通的,那无论出站规则如何,都将允许该入站请求的响应流量可以出站。
不同协议的连接跟踪老化时间不同,已建立连接状态的TCP协议连接老化时间是600s,ICMP协议老化时间是30s。对于其他协议,如果两个方向都收到了报文,连接老化时间是180s,如果只是单方向收到了一个或多个包,另一个方向没有收到包时,老化时间是30s。对于除TCP、UDP或ICMP以外的协议,仅跟踪IP地址和协议编号。
网络ACL默认规则
每个网络ACL都包含一组默认规则,如下所示:
- 默认放通同一子网内的流量。
- 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。
- 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。
- 默认放通目的IP地址为169.254.169.254/32,TCP端口为80的metadata报文。用于获取元数据。
- 默认放通公共服务预留网段资源的报文,例如目的网段为100.125.0.0/16的报文。
- 除上述默认放通的流量外,其余出入子网的流量全部拒绝,如表1所示。该规则不能修改和删除。
规则优先级
- 网络ACL规则的优先级使用“优先级”值来表示,优先级的值越小,优先级越高,最先应用。优先级的值为“*”的是默认规则,优先级最低。
- 多个网络ACL规则冲突,优先级高的规则生效,优先级低的不生效。若某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则。
父主题: 基本概念
