欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 21441|回复: 2

[产品使用] 网络ACL产品介绍&使用指南

[复制链接]

427

主题

85

好友

5488

积分

资深攻城师[LV4]

Rank: 4

云币
1869
威望
5488
发表于 2015-12-3 18:10:36 |显示全部楼层 |未分类

网络ACL产品介绍&使用指南




一、什么是网络ACL

● 网络访问控制列表(Access Control List,ACL)是一个子网级别的可选安全层,可作为防火墙,以控制进出子网的数据流。
● 您可以设置网络 ACL,使其规则与您的安全组相似,以便为您的 VPC 添加额外安全层。
● 通过ACL可以限制网络流量、提高网络性能。



二、网络 ACL 的基本信息

● ACL 有单独的入站和出站规则,每条规则可配置为允许或是拒绝数据流。
● 每个新建网络 ACL 最初都为关闭状态(不允许任何数据流),直至您添加规则为止。
● ACL 没有任何状态,对允许入站数据流的响应会随着出站数据流规则的变化而改变(反之亦然)。
● ACL对所关联子网内 CVM 实例(云服务器)之间的互访不产生影响。



三、网络ACL 的限制

网络ACL适用于 私有网络的 子网。

1.png



四、网络 ACL 规则

您可以在VPC中的 ACL 中添加或删除规则。当您在网络 ACL 中添加或删除规则时,更改也会自动应用到与其相关联的子网。

以下为部分网络 ACL 规则:
● 协议类型
● 端口和端口范围
● 数据流源或数据流目标的CIDR 范围
● 允许或拒绝选项



五、网络 ACL 规则执行标准

我们会根据与子网关联的 ACL 的进入规则评估数据包(从规则列表的顶端开始向下移动),判断数据包是否允许流向子网。
在您需要开放一系列端口、同时在此部分端口内您想拒绝部分端口,您可能希望添加一项拒绝规则。只需确保将拒绝规则放在表的较前端,先于一系列的端口数据流的那条允许规则。



六、不同客户端的临时端口范围

发起请求的客户端会选择临时端口范围。根据客户端的操作系统不同,范围也随之更改。
● 许多 Linux 内核使用端口 32768-61000。
● Windows Server 2003 使用端口 1025-5000。
● Windows Server 2008 使用端口 49152-65535。
因此,如果一项来自 Internet 上的 Windows XP 客户端的请求到达您的 VPC 的 Web 服务器,则您的网络 ACL 必须有相应的出站规则,以启用目标为端口 1025-5000 的数据流。



七、安全组与网络ACL的区别

2.png



八、网络ACL 操作指南

● 创建网络ACL

wlACL-1.png


● 删除网络ACL

wlACL-2.png


● 查询网络ACL列表
访问控制台:私有网络→安全→网络ACL,选定地域,选定您的VPC。


● 增加网络ACL规则

wlACL-3.png


● 删除网络ACL规则

点击当前规则的删除,显示为『恢复删除』保存,即可删掉当前规则。

wlACL-4.png


● 子网 关联网络ACL

wlACL-5.png


● 子网 解绑网络ACL

网络ACL详情页中操作可删除

wlACL-6.png


九、常见问题解答

1)如何确保在 VPC 中运行的 CVM 实例的安全?
安全组可用来帮助确保 VPC 内 CVM 实例的安全。安全组可用于指定允许进出各个 CVM 实例的进站和出站网络流量。
除了安全组外,通过网络访问控制列表 (ACL) 也可允许或拒绝进出各个子网的网络流量。


2)安全组和 VPC 中的网络 ACL 有什么区别?


3.png


3)有(安全组)状态筛选和(网络ACL)无状态筛选有什么区别?

有状态筛选可跟踪请求的来源,并可自动允许将请求的回复返回到来源计算机。
例如,允许至 Web 服务器上 tcp 端口 80 入站流量的有状态筛选器将允许返回流量(通常为编号较高的端口,如目标 tcp 端口 63,912)通过客户端与 Web 服务器之间的有状态筛选器。筛选设备维护一个状态表,跟踪来源和目标端口号和 IP 地址。筛选设备上仅需要一条规则:允许流量进入 We 服务器的 tcp port 80。
无状态筛选则相反,仅检查来源或目标 IP 地址和目标端口,而忽略流量是新请求还是对请求的回复。
上例中的筛选设备上需要实施两条规则:一条规则用于允许流量进入 Web 服务器的 tcp 端口 80,另一条规则用于允许来自 Web 服务器的出站流量(tcp 端口范围 49,152 到 65,535)。

3

主题

7

好友

2983

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
5740
威望
2983
发表于 2015-12-4 17:53:59 |显示全部楼层
涨姿势啦~~~谢谢大大分享!!!
回复

使用道具 举报

0

主题

0

好友

115

积分

小白[LV1]

Rank: 1

云币
115
威望
115
发表于 2017-1-3 14:11:04 |显示全部楼层
这些有点懂不起。。













优惠券
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-19 04:23 , Processed in 1.201225 second(s), 32 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部