/ 虚拟私有云 vpc/ 用户指南/ / / 网络acl配置示例
更新时间:2024-10-30 gmt 08:00
查看pdf

网络acl配置示例-九游平台

网络acl可以控制流入/流出子网的流量,当网络acl和安全组同时存在时,流量先匹配网络acl规则,然后匹配安全组规则。您可以灵活调整安全组的规则,并使用网络acl作为子网的额外防护。以下为您提供了典型的网络acl应用示例。

如果您的网络acl规则配置完成后不生效,请您提交工单联系客服处理。

使用须知

在配置规则之前,请您先了解以下信息:
  • 网络acl中,存在如表1所示的默认规则。当网络acl中没有其他允许流量出入的自定义规则时,则匹配默认规则,拒绝任何流量流入或流出子网。
    表1 网络acl默认规则说明

    方向

    生效顺序

    策略

    协议

    源地址

    源端口范围

    目的地址

    目的端口范围

    入方向

    *

    拒绝

    全部

    0.0.0.0/0

    全部

    0.0.0.0/0

    全部

    出方向

    *

    拒绝

    全部

    0.0.0.0/0

    全部

    0.0.0.0/0

    全部
  • 您无需单独添加放通响应流量的规则,因为网络acl是有状态的,允许响应流量流入/流出子网,不受规则限制。

关于网络acl规则的更多工作原理,请参见网络acl及规则的工作原理

拒绝外部访问子网内实例的指定端口

在本示例中,防止勒索病毒wanna cry对实例的攻击,因此隔离具有漏洞的应用端口,例如tcp 445端口。您可以为子网关联网络acl,并添加对应入方向规则,如表2所示,其中目的地址10.0.0.0/24为需要防护的子网网段。
  1. 网络acl默认规则拒绝任何流量流入子网,因此需要先添加自定义规则02,放通入方向流量。
  2. 添加自定义规则01,拒绝所有外部请求访问子网内实例的tcp 445端口。此时拒绝规则必须早于允许规则生效,因此需要将拒绝的规则插入到允许规则的前面,具体操作请参见添加网络acl规则(自定义生效顺序)
表2 拒绝外部访问子网内实例的指定端口

方向

生效顺序

类型

策略

协议

源地址

源端口范围

目的地址

目的端口范围

规则说明

入方向

1

ipv4

拒绝

tcp

0.0.0.0/0

全部

10.0.0.0/24

445

自定义规则01

入方向

2

ipv4

允许

全部

0.0.0.0/0

全部

10.0.0.0/24

全部

自定义规则02

入方向

*

--

拒绝

全部

0.0.0.0/0

全部

0.0.0.0/0

全部

默认规则

拒绝外部指定ip地址访问子网内实例

本示例中,需要拦截异常ip访问子网内实例,例如拒绝来自ip地址(10.1.1.12/32)的流量流入子网,您可以为子网关联网络acl,并添加对应入方向规则,如表3所示,其中目的地址10.5.0.0/24为需要防护的子网网段。
  1. 网络acl默认规则拒绝任何流量流入子网,因此需要先添加自定义规则02,放通入方向流量。
  2. 添加自定义规则01,拒绝来自外部ip地址(10.1.1.12/32)的流量流入子网。此时拒绝规则必须早于允许规则生效,因此需要将拒绝的规则插入到允许规则的前面,具体操作请参见添加网络acl规则(自定义生效顺序)
表3 拒绝外部指定ip地址访问子网内实例

方向

生效顺序

类型

策略

协议

源地址

源端口范围

目的地址

目的端口范围

规则说明

入方向

1

ipv4

拒绝

tcp

10.1.1.12/32

全部

10.5.0.0/24

全部

自定义规则01

入方向

2

ipv4

允许

全部

0.0.0.0/0

全部

10.5.0.0/24

全部

自定义规则02

入方向

*

--

拒绝

全部

0.0.0.0/0

全部

0.0.0.0/0

全部

默认规则

允许外部访问子网内实例的指定端口

本示例中,在子网内的实例上搭建了可供外部访问的网站,实例作为web服务器,需要放通入方向的http(80)和https(443)端口。当子网关联了网络acl时,需要同时在网络acl和安全组添加对应的规则。
  1. 网络acl中,添加如表4所示的规则。
    • 添加定义规则01,允许任意ip地址通过http协议,访问子网内实例的80端口。
    • 添加定义规则02,允许任意ip地址通过https协议,访问子网内实例的443端口。

    其中目的地址10.8.0.0/24为需要防护的子网网段。

    表4 网络acl规则(允许外部访问子网内实例的指定端口)

    方向

    生效顺序

    类型

    策略

    协议

    源地址

    源端口范围

    目的地址

    目的端口范围

    规则说明

    入方向

    1

    ipv4

    允许

    tcp

    0.0.0.0/0

    全部

    10.8.0.0/24

    80

    自定义规则01

    入方向

    2

    ipv4

    允许

    tcp

    0.0.0.0/0

    全部

    10.8.0.0/24

    443

    自定义规则02

    入方向

    *

    --

    拒绝

    全部

    0.0.0.0/0

    全部

    0.0.0.0/0

    全部

    默认规则

    出方向

    *

    --

    拒绝

    全部

    0.0.0.0/0

    全部

    0.0.0.0/0

    全部

    默认规则
  2. 在安全组中,添加如表5所示的规则。
    • 入方向规则01:允许任意ip地址通过http协议,访问实例的80端口。
    • 入方向规则02:允许任意ip地址通过https协议,访问实例的443端口。
    • 出方向规则03:允许任何流量从安全组内实例流出。

      安全组的出方向规则设置比较宽松,本示例中出方向通过网络acl默认规则防护,仅允许入站流量的响应流量出站,会拦截其他流量出站。

    表5 安全组规则(允许外部访问子网内实例的指定端口)

    方向

    优先级

    策略

    类型

    协议端口

    源地址/目的地址

    规则说明

    入方向

    1

    允许

    ipv4

    自定义tcp: 80

    ip地址:0.0.0.0/0

    规则01

    入方向

    1

    允许

    ipv4

    自定义tcp: 443

    ip地址:0.0.0.0/0

    规则02

    出方向

    1

    允许

    ipv4

    全部

    ip地址:0.0.0.0/0

    规则03
父主题:

相关文档

网站地图