1. 首页>
  2. 腾讯云代理

[产品使用] 网络ACL产品介绍&使用指南

腾讯云 2017年05月16日 浏览578

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

一、什么是网络ACL

● 网络访问控制列表(Access Control List,ACL)是一个子网级别的可选安全层,可作为防火墙,以控制进出子网的数据流。
● 您可以设置网络 ACL,使其规则与您的安全组相似,以便为您的 VPC 添加额外安全层。 
● 通过ACL可以限制网络流量、提高网络性能。



二、网络 ACL 的基本信息

● ACL 有单独的入站和出站规则,每条规则可配置为允许或是拒绝数据流。
● 每个新建网络 ACL 最初都为关闭状态(不允许任何数据流),直至您添加规则为止。
● ACL 没有任何状态,对允许入站数据流的响应会随着出站数据流规则的变化而改变(反之亦然)。
● ACL对所关联子网内 CVM 实例(云服务器)之间的互访不产生影响。



三、网络ACL 的限制

网络ACL适用于 私有网络的 子网。

1.png 


四、网络 ACL 规则

您可以在VPC中的 ACL 中添加或删除规则。当您在网络 ACL 中添加或删除规则时,更改也会自动应用到与其相关联的子网。

以下为部分网络 ACL 规则:
● 协议类型
● 端口和端口范围
● 数据流源或数据流目标的CIDR 范围
● 允许或拒绝选项



五、网络 ACL 规则执行标准

我们会根据与子网关联的 ACL 的进入规则评估数据包(从规则列表的顶端开始向下移动),判断数据包是否允许流向子网。
在您需要开放一系列端口、同时在此部分端口内您想拒绝部分端口,您可能希望添加一项拒绝规则。只需确保将拒绝规则放在表的较前端,先于一系列的端口数据流的那条允许规则。



六、不同客户端的临时端口范围

发起请求的客户端会选择临时端口范围。根据客户端的操作系统不同,范围也随之更改。
● 许多 Linux 内核使用端口 32768-61000。
● Windows Server 2003 使用端口 1025-5000。
● Windows Server 2008 使用端口 49152-65535。
因此,如果一项来自 Internet 上的 Windows XP 客户端的请求到达您的 VPC 的 Web 服务器,则您的网络 ACL 必须有相应的出站规则,以启用目标为端口 1025-5000 的数据流。



七、安全组与网络ACL的区别

2.png 


八、网络ACL 操作指南

● 创建网络ACL

wlACL-1.png 

● 删除网络ACL

wlACL-2.png 

● 查询网络ACL列表
访问控制台:私有网络→安全→网络ACL,选定地域,选定您的VPC。


● 增加网络ACL规则

wlACL-3.png 

● 删除网络ACL规则

点击当前规则的删除,显示为『恢复删除』保存,即可删掉当前规则。

wlACL-4.png 

● 子网 关联网络ACL

wlACL-5.png 

● 子网 解绑网络ACL

网络ACL详情页中操作可删除

wlACL-6.png 

九、常见问题解答

1)如何确保在 VPC 中运行的 CVM 实例的安全?
安全组可用来帮助确保 VPC 内 CVM 实例的安全。安全组可用于指定允许进出各个 CVM 实例的进站和出站网络流量。
除了安全组外,通过网络访问控制列表 (ACL) 也可允许或拒绝进出各个子网的网络流量。


2)安全组和 VPC 中的网络 ACL 有什么区别?


3.png 

3)有(安全组)状态筛选和(网络ACL)无状态筛选有什么区别?

有状态筛选可跟踪请求的来源,并可自动允许将请求的回复返回到来源计算机。
例如,允许至 Web 服务器上 tcp 端口 80 入站流量的有状态筛选器将允许返回流量(通常为编号较高的端口,如目标 tcp 端口 63,912)通过客户端与 Web 服务器之间的有状态筛选器。筛选设备维护一个状态表,跟踪来源和目标端口号和 IP 地址。筛选设备上仅需要一条规则:允许流量进入 We 服务器的 tcp port 80。
无状态筛选则相反,仅检查来源或目标 IP 地址和目标端口,而忽略流量是新请求还是对请求的回复。
上例中的筛选设备上需要实施两条规则:一条规则用于允许流量进入 Web 服务器的 tcp 端口 80,另一条规则用于允许来自 Web 服务器的出站流量(tcp 端口范围 49,152 到 65,535)。 



腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群


ps:本站信息来源于 bbs.qcloud.com

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808