更新时间:2023-11-08 GMT+08:00
配置网络ACL规则
使用场景
网络ACL创建后,您可以根据自身网络需求设置出方向、入方向规则,这些规则会对网络ACL内部的子网出入方向网络流量进行访问控制,当子网关联该网络ACL后,即受到这些访问规则的保护。
- 入方向:指从外部访问网络ACL规则下的子网。
- 出方向:指网络ACL规则下的子网访问网络ACL外的子网。
常用的网络ACL规则配置示例请参见网络ACL配置示例。
约束与限制
- 每个网络ACL都包含一组默认规则,如下所示:
- 默认放通同一站点下同一子网内的流量。
- 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。
- 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。
- 默认放通目的IP地址为169.254.169.254/32,TCP端口为80的metadata报文。用于获取元数据。
- 默认放通公共服务预留网段资源的报文,例如目的网段为100.125.0.0/16的报文。
- 除上述默认放通的流量外,其余出入子网的流量全部拒绝,如表1所示。该规则不能修改和删除。
- 网络连通性:
- 由于归属于不同虚拟私有云的多个子网网络不连通,则为同一个网络ACL下归属于不同的虚拟私有云的多个子网配置网络连通的访问规则是不生效的。
- 由于归属于不同边缘站点的多个子网之间网络不连通,则为网络ACL配置跨站点多个子网连通的访问规则是不生效的。
- 规则优先级:
- 网络ACL规则的优先级使用“优先级”值来表示,优先级的值越小,优先级越高,最先应用。优先级的值为“*”的是默认规则,优先级最低。
- 多个网络ACL规则冲突,优先级高的规则优先生效。如果某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则。
操作步骤
- 登录控制台。
- 选择“CDN与智能边缘 > 智能边缘云 IEC”。
- 单击“边缘网络 > 网络ACL”。
- 在网络ACL界面,单击操作列的“配置规则”,或者单击“名称”列网络ACL的名称,进入网络ACL详情界面。
- 在入方向规则或出方向规则页签,单击“添加规则”,添加入方向或出方向规则。
单击“+”可以依次增加多条规则。
表2 参数说明 参数
说明
取值样例
类型
网络ACL类型。必选项,单击下拉按钮可选择。目前支持“IPv4”和“IPv6”。
-
策略
网络ACL策略。必选项,单击下拉按钮可选择。目前支持“允许”和“拒绝”。
-
协议
网络ACL支持的协议。必选项,单击下拉按钮可选择。目前只支持选择TCP、UDP、ICMP协议、所有协议。
- 当选择所有协议或者ICMP时,端口信息不可填写。
- 当类型为IPv6时,协议包括ICMPV6。
-
源地址
此方向允许的源地址。
默认值为0.0.0.0/0,代表支持所有的IP地址。
例如:
- 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址)
- IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)
- 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址)
-
源端口范围
源端口范围,取值范围是1~65535的数字。表示某一范围时,两个数字必须以短划线分隔。例如,1-100。
选择TCP或UDP协议时必须填写。
-
目的地址
此方向允许的目的地址。
默认值为0.0.0.0/0,代表支持所有的IP地址。
例如:
- 单个IP地址:192.168.10.10/32(IPv4地址);2002:50::44/127(IPv6地址)
- IP地址段:192.168.1.0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)
- 所有IP地址:0.0.0.0/0(IPv4任意地址);::/0(IPv6任意地址)
-
目的端口范围
目的端口范围,取值范围是介于1~65535的数字。表示某一范围时,两个数字必须以短划线分隔。例如,1-100。
选择TCP或UDP协议时必须填写。
-
描述
网络ACL规则的描述信息,非必填项。
描述信息内容不能超过64个字符,且不能包含<、>符号。
-
- 单击“确定”,添加网络ACL规则。
父主题: 网络ACL
