成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

【私有網絡 UVPC】網絡ACL簡介,ACL規(guī)劃已經操作指南

Tecode / 2527人閱讀

摘要:關聯子網創(chuàng)建網絡后,用戶可將該與所屬下的任意子網進行綁定和解綁。支持子網內全部資源子網內指定資源。因此需要額外添加一條針對同子網網段的放行規(guī)則。網絡網絡是子網級別的安全策略,用于控制進出子網的數據流。

網絡ACL簡介

網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規(guī)則和入站規(guī)則,對進出子網的流量進行精確控制。

網絡ACL是無狀態(tài)的,例如用戶如果需要允許某些訪問,則需要同時添加相應的入站規(guī)則和出站規(guī)則。若只添加入站規(guī)則,未添加出站規(guī)則,則會導致訪問異常。

關聯子網

創(chuàng)建網絡ACL后,用戶可將該ACL與所屬VPC下的任意子網進行綁定和解綁。綁定子網前,請確保ACL中的規(guī)則正確,以免影響關聯子網中云資源的正常通信。

出站/入站規(guī)則

網絡ACL 規(guī)則分為出站規(guī)則和入站規(guī)則。用戶對網絡ACL規(guī)則的更新,會自動應用到與其相關聯的子網。

允許添加的出站/入站規(guī)則數量上限各為50條。

網絡 ACL 規(guī)則包括以下組成部分:

  • 策略:允許或拒絕。
  • 來源IP/目標IP:出站/入站規(guī)則針對的網段。
  • 協議類型:支持TCP、UDP、ICMP和GRE協議類型,可選擇ALL來指定所有協議類型。
  • 目標端口:TCP和UDP協議類型允許填寫的端口范圍為1-65535。其他協議類型無需指定端口。
  • 優(yōu)先級:規(guī)則對應的優(yōu)先級,數字越小,優(yōu)先級越高??商顚懛秶鸀?-30000。同一優(yōu)先級的出站/入站規(guī)則只能創(chuàng)建一條。
  • 應用目標:ACL規(guī)則的生效范圍。支持子網內全部資源、子網內指定資源。"子網內全部資源"即該規(guī)則對綁定該ACL的子網內所有資源均生效(負載均衡ULB和物理云主機除外);"子網內指定資源"即該規(guī)則僅對選中的資源生效,不對子網內未選中的資源生效。

注意: 創(chuàng)建網絡ACL后,系統(tǒng)會自動添加一條默認出站規(guī)則和一條默認入站規(guī)則。

默認出站規(guī)則即為全部協議、全部端口流量的出站允許。


默認入站規(guī)則即為全部協議、全部端口流量的入站允許。

默認規(guī)則不允許編輯和刪除,創(chuàng)建ACL時就存在。

默認規(guī)則優(yōu)先級最低,可通過添加優(yōu)先級更高的規(guī)則來覆蓋默認規(guī)則。

產品配額

每個網絡ACL配額如下(不包含默認規(guī)則)

名稱配額
出站規(guī)則數量100
入站規(guī)則數量100

ACL規(guī)劃

當前新建的ACL表默認是黑名單模式的,默認的出站和入站規(guī)則均為優(yōu)先級最低的“全部放行”規(guī)則。在實際場景中,ACL由于其無狀態(tài)的性質,設定非常復雜。下文將介紹ACL規(guī)則設定的要點,以及如何根據場景設置恰當的ACL規(guī)則。

ACL規(guī)則建議

設定ACL規(guī)則的時候,建議如下:

  • ACL規(guī)則是無狀態(tài)的,因此設定規(guī)則的時候需要同時考慮出站、入站兩個方向。
  • UCloud ACL產品默認生效級別為單一云資源。例如添加一條目標地址為0.0.0.0/0的拒絕規(guī)則,那么主機與同子網內的主機的互通也會受到影響。因此需要額外添加一條針對同子網網段的放行規(guī)則。
  • 同一張ACL表中的不同入站規(guī)則,不允許優(yōu)先級相同。同一張ACL表中的不同出站規(guī)則,不允許優(yōu)先級相同。
  • ACL規(guī)則設置,需要盡可能的靠近流量的源頭。例如禁止某個IP對子網資源的訪問,在出站規(guī)則和入站規(guī)則做黑名單都可以達到效果。應當設置入站規(guī)則,拒絕流量流入。
  • UCloud公共服務網段需要放行,否則將無法正常使用ULB、yum源、NTP、內網DNS等服務。公共服務網段參見公共服務網段。

ACL案例

下面通過一個例子來介紹如何配置ACL規(guī)則。

網絡架構如下圖:

在這個例子中,需要為UCloud廣州Region的子網A配置ACL規(guī)則。子網A需要滿足如下規(guī)則:

  • 子網A的網段為10.10.1.0/24子網內部全部互通。
  • 子網A的22端口,能且僅能被子網B訪問,子網B的網段為192.168.1.0/24.
  • 子網A的云資源僅能訪問8.8.8.8的53端口(UDP/TCP),不能訪問其他外網地址。
  • 子網A的云資源 80端口能被任意地址訪問。
  • 子網A可以正常使用UCloud提供的公共服務。

其余流量均禁止。

那么子網A的ACL規(guī)則應當配置如下:

  • 入站規(guī)則
優(yōu)先級目標端口協議源地址策略描述
122TCP192.168.1.0/24接受允許子網B訪問22端口
280TCP0.0.0.0/0接受允許任意地址訪問80端口
332768-65535TCP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的TCP 53端口,臨時端口放行。
432768-65535UDP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的UDP 53端口,臨時端口放行。
5ALLALL10.10.1.0/24接受允許子網內主機互通
6ALLALL10.13.192.0/18接受允許公共服務的訪問
30000ALLALL0.0.0.0/0拒絕默認拒絕所有流量
*ALLALL0.0.0.0/0接受默認放行所有流量,創(chuàng)建時系統(tǒng)自動添加。優(yōu)先級最低。
  • 出站規(guī)則
優(yōu)先級目標端口協議目標地址策略描述
153TCP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的TCP53端口
253UDP8.8.8.8/32接受允許子網內主機訪問8.8.8.8的UDP53端口
332768-65535TCP0.0.0.0/0接受允許80端口對外訪問,允許22端口對子網B訪問,臨時端口放行。
4ALLALL10.10.1.0/24接受允許子網內主機互通
5ALLALL10.13.192.0/18接受允許公共服務的訪問
30000ALLALLALL拒絕默認拒絕所有流量
*ALLALL0.0.0.0/0接受默認放行所有流量,創(chuàng)建時系統(tǒng)自動添加。優(yōu)先級最低。

ACL規(guī)則分析

以“子網A的22端口,能且僅能被子網B訪問,子網B的網段為192.168.1.0/24.”這條規(guī)則為例,分析方式如下:

其中臨時端口是TCP、UDP等協議在主動發(fā)起連接的時候,從預設的范圍內可以分配到的端口。該端口僅在連接生命周期內處于被占用狀態(tài)。該范圍可以通過以下方式獲得:

cat /proc/sys/net/ipv4/ip_local_port_range

可以利用下列命令進行臨時端口范圍的修改:

echo "32768 65535" >  /proc/sys/net/ipv4/ip_local_port_range

本文使用“32768-65535”指代臨時端口。
如上,分別標記出子網A的22端口被子網B訪問的四元組。那么在默認規(guī)則為拒絕的條件下,需要添加如下入站和出站規(guī)則:

  • 入站規(guī)則
優(yōu)先級目標端口協議源地址行為描述
122TCP192.168.1.0/24接受允許子網B訪問22端口
  • 出站規(guī)則
優(yōu)先級目標端口協議目標地址行為描述
132768-65535TCP192.168.1.0/24接受允許子網B訪問22端口

其余場景,也可以通過列舉入向、出向的五元組(源目的IP、端口,以及使用協議)分析得到。

網絡ACL

網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規(guī)則和入站規(guī)則,對進出子網的流量進行精確控制。

創(chuàng)建ACL

  • 登錄控制臺,選擇【產品與服務】中“私有網絡VPC”,進入私有網絡頁面??稍诰W絡ACL標簽中點擊“創(chuàng)建ACL”按鈕創(chuàng)建ACL實例。

image

  • 選擇ACL所屬的VPC,輸入ACL名稱,點擊“確定”。

image

  • 創(chuàng)建完成,在列表中可以看到新建的ACL實例。

image

編輯入站規(guī)則

  • 在詳情頁中,選擇“入站規(guī)則”標簽頁。點擊“添加入站規(guī)則”即可添加入站規(guī)則。

在彈出的編輯框中,選擇策略、協議類型,填寫來源IP、端口和優(yōu)先級等信息。點擊“確定”即可添加。

image

  • 添加完成后,可對規(guī)則進行編輯和刪除操作。其中默認規(guī)則不允許編輯和刪除。

image

編輯出站規(guī)則

  • 在詳情頁中,選擇“出站規(guī)則”標簽頁。點擊“添加出站規(guī)則”即可添加入站規(guī)則。

在彈出的編輯框中,選擇策略、協議類型,填寫目標IP、端口和優(yōu)先級等信息。點擊“確定”即可添加。

image

  • 添加完成后,可對規(guī)則進行編輯和刪除操作。其中默認規(guī)則不允許編輯和刪除。

image

關聯子網

規(guī)則編輯完成后,可點擊“詳情”進入ACL概覽頁。點擊“綁定”,可將ACL與所屬VPC下的子網進行綁定。

image

  • 點擊“確定”后,即可綁定。

image

  • 點擊“解綁“,可將ACL與子網解綁??蛇M行批量解綁操作。

image

實時文檔請點擊最新文檔https://docs.ucloud.cn/vpc/introduction/acl

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://systransis.cn/yun/126175.html

相關文章

  • 概覽 私有網絡 UVPC

    摘要:概覽概覽產品簡介產品簡介和子網簡介網關簡介內網簡介網絡簡介路由表簡介計費說明使用限制規(guī)劃建議規(guī)劃規(guī)劃快速上手搭建網絡創(chuàng)建創(chuàng)建子網添加云主機創(chuàng)建網關綁定網絡操作指南子網網關內網網絡路由表 概覽產品簡介產品簡介VPC和子網簡介NAT網關簡介內網VIP簡介網絡ACL簡介路由表簡介計費說明 使用限制規(guī)劃建議ACL規(guī)劃VPC規(guī)劃快速上手搭建VPC網絡Step1 創(chuàng)建VPCStep2 創(chuàng)建子網St...

    ernest.wang 評論0 收藏1751

  • 產品簡介 私有網絡 UVPC

    摘要:在私有網絡中,可以創(chuàng)建指定網段的,在中創(chuàng)建子網并自主管理云資源。這些獨立的網絡段叫做子網。網絡是子網級別的安全策略,用于控制進出子網的數據流。 產品簡介本篇目錄私有網絡簡介私有網絡組件私有網絡簡介私有網絡 VPC(Virtual Private Cloud)是屬于用戶的、邏輯隔離的網絡環(huán)境。在私有網絡中,可以創(chuàng)建指定網段的VPC,在VPC中創(chuàng)建子網并自主管理云資源,同時通過網絡ACL實現安全...

    ernest.wang 評論0 收藏826

  • 網絡ACL簡介 私有網絡 UVPC

    摘要:網絡簡介網絡簡介本篇目錄關聯子網關聯子網出站入站規(guī)則出站入站規(guī)則產品配額產品配額網絡是子網級別的安全策略,用于控制進出子網的數據流。用戶對網絡規(guī)則的更新,會自動應用到與其相關聯的子網。支持子網內全部資源子網內指定資源。 網絡ACL簡介本篇目錄關聯子網出站/入站規(guī)則產品配額網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規(guī)則和入站規(guī)則,對進出子網的流量進行精確控制...

    ernest.wang 評論0 收藏171

  • 網絡ACL 私有網絡 UVPC

    摘要:用戶可以通過設置出站規(guī)則和入站規(guī)則,對進出子網的流量進行精確控制。創(chuàng)建創(chuàng)建創(chuàng)建登錄控制臺,選擇產品與服務中私有網絡,進入私有網絡頁面。點擊綁定,可將與所屬下的子網進行綁定。 網絡ACL本篇目錄創(chuàng)建ACL編輯入站規(guī)則編輯出站規(guī)則關聯子網網絡ACL是子網級別的安全策略,用于控制進出子網的數據流。用戶可以通過設置出站規(guī)則和入站規(guī)則,對進出子網的流量進行精確控制。 創(chuàng)建ACL 登錄控制臺,選擇【產品...

    ernest.wang 評論0 收藏1303

  • 計費說明 私有網絡 UVPC

    摘要:計費說明計費說明計費說明私有網絡子網網絡均為免費產品,不需支付任何費用。網關為免費產品,但所綁定的彈性為收費產品,具體價格參考彈性產品價格。 計費說明私有網絡VPC、子網、網絡ACL均為免費產品,不需支付任何費用。NAT網關為免費產品,但所綁定的彈性IP為收費產品,具體價格參考彈性IP產品價格。

    ernest.wang 評論0 收藏1435

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<