网络访问控制列表(Access Control List,ACL)是一种子网级别的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度。您可通过如下视频了解使用网络 ACL 实现访问控制的相关规则。
您可以为具有相同网络流量控制的子网关联同一个网络 ACL,通过设置出站和入站规则,对进出子网的流量进行精确控制。
例如,您在腾讯云私有网络内托管多层 Web 应用,创建了不同子网分别部署 Web 层、逻辑层和数据层服务,通过网络 ACL,您可以控制这三个子网之间的访问,使得:Web 层子网和数据层子网无法相互访问,只有逻辑层可以访问 Web 层和数据层子网。
当您在网络 ACL 中添加或删除规则后,会自动应用到与其相关联的子网的网络流量控制。
网络 ACL 规则包括如下组成部分:
10.20.3.0
或10.0.0.2/24
。每个网络 ACL 在创建后都将包含两条默认规则,默认规则无法修改或删除,且优先级最低。
入方向默认规则
协议类型 | 端口 | 源 IP | 策略 | 说明 |
---|---|---|---|---|
ALL | ALL | 0.0.0.0/0 | 拒绝 | 拒绝所有入站流量 |
出方向默认规则
协议类型 | 端口 | 目标 IP | 策略 | 说明 |
---|---|---|---|---|
ALL | ALL | 0.0.0.0/0 | 拒绝 | 拒绝所有出站流量 |
假设某子网关联了网络 ACL,该子网允许所有源 IP 访问子网内云服务器的所有端口,同时拒绝源 IP 为192.168.200.11/24的 HTTP 服务访问80端口。根据上述要求,其关联的网络 ACL 应添加如下两条入站规则:
协议类型 | 端口 | 源 IP | 策略 | 说明 |
---|---|---|---|---|
HTTP | 80 | 192.168.200.11/24 | 拒绝 | 拒绝该 IP 的 HTTP 服务访问80端口 |
ALL | ALL | 0.0.0.0/0 | 允许 | 允许所有源 IP 访问所有端口 |
对比项 | 安全组 | 网络 ACL |
---|---|---|
流量控制 | 云服务器、数据库等实例级别的流量访问控制 | 子网级别的流量控制 |
规则 | 支持允许规则、拒绝规则 | 支持允许规则、拒绝规则 |
有无状态 | 有状态:返回数据流会被自动允许,不受任何规则的影响 | 无状态:返回数据流必须被规则明确允许 |
生效时间 | 只有在创建云服务器、云数据库等实例时指定安全组,或实例创建后再关联安全组,规则才会被应用到实例 | 创建 ACL 并绑定子网后,ACL 将自动应用到关联子网内的所有云服务器、云数据库等实例 |
规则优先级 | 有规则冲突时,默认应用位置更前的规则 | 有规则冲突时,默认应用位置更前的规则 |
实验介绍 飞机大战作为一款经典的街机游戏,是很多人的童年回忆。我们的 HaaS ED...
头图来源: https://opensource.guide/ 来源 | 阿里巴巴云原生公众号 ? 只有贡献...
根据ICANN6月11日发布的《国际 域名 政策动态》显示,ICANN 于 5 月 22 日宣布宣...
从技术的发展来说,云是趋势,其在即将来临的5G时代发挥重要的作用。而且大家也...
TOP云 (west.cn)10月9日消息,据业内媒体报道,昨晚一枚极品两声母 域名 fh.co...
作为一起新型贷款诈骗案件,相关监管部门和银行已关注到其中的欺诈风险,目前已...
大促对整个数据库系统都提出了极高的要求 每个系统在架构设计时都要以支撑大促丝...
1.什么是serverless? 1.1 serverless官方定义 serverless 中的 server 是 服务...
【51CTO.com原创稿件】2020年新冠疫情的爆发,中美贸易战的加剧,让VUCA时代的形...
现在所有 域名 都要实名吗?不是的。目前虽然我国绝大部分域名后缀都要求实名认...