介绍常见的网络ACL配置示例。
在本示例中,假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。
网络ACL配置
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
拒绝 |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
445 |
拒绝所有IP地址通过TCP 445端口入站访问 |
入方向 |
允许 |
全部 |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
全部 |
放通所有入站流量 |
在本示例中,假设子网内的某个弹性云服务器做Web服务器,入方向需要放通HTTP 80和HTTPS 443端口,出方向全部放通。当子网开启网络ACL时,需要同时配置网络ACL和安全组规则。
网络ACL配置
需要添加的网络ACL入方向、出方向规则如表2所示。
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
允许 |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
80 |
允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口 |
入方向 |
允许 |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
443 |
允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口 |
出方向 |
允许 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
允许子网内所有出站流量的数据报文通过 |
安全组配置
需要添加的安全组入方向、出方向规则如表3所示。
方向 |
协议/应用 |
端口 |
源地址/目的地址 |
说明 |
---|---|---|---|---|
入方向 |
TCP |
80 |
源地址:0.0.0.0/0 |
允许所有IP地址通过HTTP协议入站访问安全组内的弹性云服务器的80端口 |
入方向 |
TCP |
443 |
源地址:0.0.0.0/0 |
允许所有IP地址通过HTTPS协议入站访问安全组内的弹性云服务器的443端口 |
出方向 |
全部 |
全部 |
目的地址:0.0.0.0/0 |
允许安全组内所有出站流量的数据报文通过 |
网络ACL相当于一个额外的保护层,就算不小心配置了比较宽松的安全组规则,网络ACL规则也仅允许HTTP 80和HTTPS 443的访问,拒绝其他的入站访问流量。
在本示例中,假设要禁止一些异常IP的访问,例如:192.168.1.102,您可以在子网层级添加网络ACL拒绝规则,拒绝192.168.1.102的入站访问。
网络ACL配置
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
拒绝 |
TCP |
192.168.1.102/32 |
1-65535 |
0.0.0.0/0 |
全部 |
拒绝192.168.1.102对子网的访问 |
入方向 |
允许 |
全部 |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
全部 |
放通所有入站流量 |
进入“费用中心”的 账户概览 页面。 在页面滑动“预警”参数后面的滑动按钮,即...
作者:jingjunli,腾讯 IEG 后台开发工程师 Redis 作为高性能缓存被广泛应用到各...
全站加速适用于各行业动静态内容混合,含较多动态资源请求(如asp、jsp、php等格...
TOP云 (west.cn)6月2日消息,小编在社交媒体上发现, 英文域名 napkin.com和Gr...
创建企业的数字孪生、识别机器人流程自动化(RPA)等自动化技术并将孤立的任务连接...
IDC行业不断发展壮大,服务器市场也随着电子商务的发展和网民基数的增加而愈发庞...
本章节简单介绍了如何在裸金属服务器中部署应用程序。 安装及启动Nginx 输入 yum...
前言 最近加入到一个新的团队,整体的框架方向是构建业务中台,划分子域、上下文...
弹性伸缩服务可根据用户的业务需求,通过策略自动调整其业务的资源。具有自动调...
域名注册 需要实名认证吗?目前,在我国注册的大部分 域名 都需要实名认证,但也...