网络ACL简介

小乔

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。

如图1所示。

图1 安全组与网络ACL

                               
登录/注册后可看大图

网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。安全组对云服务器、云容器、云数据库等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。

网络ACL与安全组的详细区别请参见安全组与网络ACL区别。

网络ACL基本信息

• 您的VPC默认没有网络ACL。当您需要时，可以创建自定义的网络ACL并将其与子网关联。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。
• 网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。
• 每个新创建的网络ACL最初都为未激活状态，直至您关联子网为止。
• 网络ACL是有状态的。如果您发送一个出站请求，且该网络ACL的出站规则是放通的话，那么无论其入站规则如何，都将允许该出站请求的响应流量流入。同理，如果您发送一个入站请求，且该网络ACL的入站规则是放通的，那无论出站规则如何，都将允许该入站请求的响应流量可以出站。

  不同协议的连接跟踪老化时间不同，已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了一个或多个包，另一个方向没有收到包时，老化时间是30s。对于除TCP、UDP或ICMP以外的协议，仅跟踪IP地址和协议编号。

  
  

网络ACL默认规则

每个网络ACL都包含一组默认规则，如下所示：

• 默认放通同一子网内的流量。
• 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。
• 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。
• 默认放通目的IP地址为169.254.169.254/32，TCP端口为80的metadata报文。用于获取元数据。
• 默认放通公共服务预留网段资源的报文，例如目的网段为100.125.0.0/16的报文。
• 除上述默认放通的流量外，其余出入子网的流量全部拒绝，如表1所示。该规则不能修改和删除。表1 网络ACL默认规则[]
  

  方向	优先级	动作	协议	源地址	目的地址	说明
  入方向	*	拒绝	全部	0.0.0.0/0	0.0.0.0/0	拒绝所有入站流量
  出方向	*	拒绝	全部	0.0.0.0/0	0.0.0.0/0	拒绝所有出站流量

  
  

规则优先级

• 网络ACL规则的优先级使用“优先级”值来表示，优先级的值越小，优先级越高，最先应用。优先级的值为“*”的是默认规则，优先级最低。
• 多个网络ACL规则冲突，优先级高的规则生效，优先级低的不生效。若某个规则需要优先或落后生效，可在对应规则（需要优先或落后于某个规则生效的规则）前面或后面插入此规则。
  

应用场景

• 由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶意用户的非正常访问呢？

  解决方案：通过网络ACL添加拒绝规则，拒绝恶意IP的访问。

• 隔离具有漏洞的应用端口，比如Wanna Cry，关闭445端口。

  解决方案：通过网络ACL添加拒绝规则，拒绝恶意协议和端口，比如TCP：445端口。

• 子网内的通信无防护诉求，仅有子网间的访问限制。

  解决方案：通过网络ACL设置子网间的访问规则

• 对访问频繁的应用，调整安全规则顺序，提高性能。

  解决方案：网络ACL支持规则编排，可以把访问频繁的规则置顶。

  
  

网络ACL配置流程

子网配置网络ACL的流程，如图2所示。

图2 网络ACL配置流程

                               
登录/注册后可看大图

• 参考创建网络ACL创建网络ACL。
• 参考添加网络ACL规则添加网络ACL规则。
• 参考将子网关联至网络ACL将子网与网络ACL关联。子网关联后，网络ACL将自动开启并生效。
  

约束与限制

• 默认情况下，一个区域内，一个用户最多可以创建200个网络ACL。
• 建议一个网络ACL单方向拥有的规则数量不要超过100条，否则会引起网络ACL性能下降。
• 在一个网络ACL的入方向中，最多可以有124条规则关联IP地址组，出方向同理。