将子网和网络ACL关联 使用场景 您的网络ACL需要关联到相应的子网，才能正常使用。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。 约束与限制 网络ACL可以关联多个子网，但一个子网同一时间只能关联一个网络ACL。 操作步骤 登录控制台。 选择“CDN与智能边缘

查看更多 →

您可以通过以下多个操作入口，将子网和网络ACL解除关联。 入口一：在子网列表中，选择目标子网，解除子网和网络ACL的关联关系。 在左侧导航栏，选择“子网”。 进入子网列表页面。 在子网列表中，单击目标子网对应的名称超链接。 进入子网详情页面。 在子网详情页面的右上方区域，单击网络ACL资源后的“取消关联”。

查看更多 →

管理网络ACL关联的子网 将子网关联至网络ACL 将子网和网络ACL解除关联 父主题： 网络ACL

查看更多 →

返回“关联子网”页签的子网列表中，可以看到网络ACL关联的所有子网。 已关联网络ACL的子网将不会展示在“关联子网”对话框的子网列表中，如果您需要将已关联其他网络ACL的子网关联至当前网络ACL，需要先解除子网和其他网络ACL的关联关系，然后再将子网关联至当前网络ACL。 父主题： 管理网络ACL关联的子网

查看更多 →

在“网络ACL”列表界面，单击操作列的“关联子网”，或者单击“名称”列网络ACL的名称，进入网络ACL详情界面。 在详情页面，单击“关联子网”页签。 在“关联子网”页签详情页面，选择对应子网的“操作”列，单击“取消关联”。 如需批量取消关联子网，可以同时勾选多个子网，单击列表上方的“取消关联子网”，将多个子网从当前网络ACL中全部移出。

查看更多 →

未与子网关联的网络ACL 规则详情 表1 规则详情 参数 说明 规则名称 vpc-acl-unused-check 规则展示名 未与子网关联的网络ACL 规则描述 检查是否存在未使用的网络ACL，如果网络ACL没有与子网关联，视为“不合规”。 标签 vpc 规则触发方式 配置变更

查看更多 →

如何解除网络ACL的关联子网 操作场景 用户可根据自身网络需求，解除网络ACL与子网的关联关系。 操作步骤 登录管理控制台。 在服务列表中单击“网络 > 虚拟私有云”。 在左侧导航栏单击“访问控制 > 网络ACL”。 在右侧在“网络ACL”列表区域，选择网络ACL的名称列，单击您需要修改的网络ACL名称进入详情页面。

查看更多 →

制出入子网的数据流。 华为云提供了管理网络ACL和网络ACL规则的功能：创建网络ACL、查看网络ACL、修改网络ACL、删除网络ACL、开启/关闭网络ACL、关联/解除子网和网络ACL、添加网络ACL规则、修改网络ACL规则、修改网络ACL规则生效顺序、开启/关闭网络ACL规则、删除网络ACL规则等。

查看更多 →

网络ACL绑定子网 功能介绍 网络ACL绑定子网。 调试 您可以在 API Explorer 中调试该接口，支持自动认证鉴权。 URI PUT /v3/{project_id}/vpc/firewalls/{firewall_id}/associate-subnets 表1 路径参数

查看更多 →

网络ACL解绑子网 功能介绍 网络ACL解绑子网。 调试 您可以在API Explorer中调试该接口，支持自动认证鉴权。 URI PUT /v3/{project_id}/vpc/firewalls/{firewall_id}/disassociate-subnets 表1 路径参数

查看更多 →

路由表关联子网 功能介绍 路由表关联子网 调试 您可以在API Explorer中调试该接口，支持自动认证鉴权。API Explorer可以自动生成SDK代码示例，并提供SDK代码示例调试功能。 URI POST /v1/routetables/{routetable_id}/associate-subnets

查看更多 →

为隔离域关联子网 ENS根据隔离域的用途从VPC规划的相应网段中分配子网。比如隔离域的用途为DB，就从隔离域关联的VPC的普通虚拟机网段创建一个子网，用于部署DB。 本章节介绍如何为隔离域关联子网，支持创建子网，或绑定在华为云VPC已创建的子网。 前提条件 已获取服务运维岗位权限

查看更多 →

入或流出子网的流量，流量将会优先匹配自定义规则。 添加网络ACL规则 3 将子网关联至网络ACL 您需要将子网关联至网络ACL，并且当网络ACL状态为“已开启”时，网络ACL规则会对出入子网的流量生效。 一个子网只能关联一个网络ACL。 将子网关联至网络ACL 网络ACL的使用限制

查看更多 →

系统出现信息提示页面，您可根据提示选择立即关联子网。 单击“关联子网”，进入路由表详情页面的“关联子网”页签。 单击“关联子网”，选择需要关联的子网。 单击“确定”，完成关联。 检查弹性云 服务器 是否绑定了弹性公网IP 当同一个弹性云服务器同时设置了SNAT和弹性公网IP时，会优先使用弹性公网IP进行转发。

查看更多 →

BUSI”，关联生产环境PRD-SAP-DB区业务子网(172.22.9.0/24)，入方向通过策略限制可由管理区 堡垒机 访问区域内服务器的管理端口(22等)，限制可由SAP-Router、PRD-DMZ区、PRD-应用区访问本子网内服务器的业务端口。 表9 网络ACL“NACL-PRD-SAPDB-BUSI”出方向

查看更多 →

安全策略 由于开发环境同时需要与企业内部通信，还需提供互联网的业务访问，综合考虑通过网络ACL进行相应的访问控制策略。 网络ACL “NACL-DMZ-SAP-Router”关联生产环境相应子网，需严格控制互联网访问的入方向策略，限制特定外网网段能够访问特定的[IP]:[PORT]。

查看更多 →

由于开发环境同时需要与企业内部通信，还需提供互联网的业务访问，综合考虑通过网络ACL进行相应的访问控制策略。 图1 开发测试环境子网 如图1 开发测试环境子网所示，网络ACL“NACL-DEV-APP”关联开发测试环境相应子网，需严格控制访问企业内网环境(IDC)的出方向策略，限制其仅能访

查看更多 →

配置后端服务器的安全组 操作场景 为了确保负载均衡器与后端服务器进行正常通信和健康检查正常，添加后端服务器后必须检查后端服务器所在的安全组规则和网络ACL规则。 后端服务器的安全组规则必须放通源地址为ELB后端子网所属网段。默认情况下，ELB后端子网与ELB所在子网一致。查看如何配置安全组规则。

查看更多 →

另外，开发测试环境中所有云服务器对外开放的端口范围由安全组控制，遵从最小化原则。安全组不做源IP控制，由网络ACL进行控制。 SAP开发测试环境子网如图2 开发测试环境子网、网络ACL分布图所示。 图2 开发测试环境子网、网络ACL分布图 安全策略 开发测试环境内部涉及如下网络ACL实例：网络ACL“NACL-DEV-MGMT”、

查看更多 →

步骤二：查看安全组是否放通 弹性云服务器详情页面中可以查看网卡使用的安全组。需要包含期望进行通信的对端VPC的子网网段。 图2 查看安全组是否放通 步骤三：查看网络ACL是否放通 虚拟私有云页面左侧导航栏选择网络ACL，选择对等连接涉及的子网所关联的网络ACL，并在网络ACL详情页查看对等连接涉及的子网是否已放通。

查看更多 →

0/16网段。查看如何配置安全组规则。 网络ACL规则为子网级别的可选安全层，若后端服务器的子网关联了网络ACL，网络ACL规则必须配置允许源地址为ELB后端子网所属网段。查看如何配置网络ACL规则。 若共享型ELB实例开启“获取客户端IP”功能，共享型ELB四层监听器转发的流量将不受安全组规则和网络ACL限制，

查看更多 →