亚洲中字慕日产2020,大陆极品少妇内射AAAAAA,无码av大香线蕉伊人久久,久久精品国产亚洲av麻豆网站

資訊專欄INFORMATION COLUMN

【私有網(wǎng)絡(luò) UVPC】網(wǎng)絡(luò)ACL簡介,ACL規(guī)劃已經(jīng)操作指南

Tecode / 2622人閱讀

摘要:關(guān)聯(lián)子網(wǎng)創(chuàng)建網(wǎng)絡(luò)后,用戶可將該與所屬下的任意子網(wǎng)進(jìn)行綁定和解綁。支持子網(wǎng)內(nèi)全部資源子網(wǎng)內(nèi)指定資源。因此需要額外添加一條針對同子網(wǎng)網(wǎng)段的放行規(guī)則。網(wǎng)絡(luò)網(wǎng)絡(luò)是子網(wǎng)級別的安全策略,用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。

網(wǎng)絡(luò)ACL簡介

網(wǎng)絡(luò)ACL是子網(wǎng)級別的安全策略,用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。用戶可以通過設(shè)置出站規(guī)則和入站規(guī)則,對進(jìn)出子網(wǎng)的流量進(jìn)行精確控制。

網(wǎng)絡(luò)ACL是無狀態(tài)的,例如用戶如果需要允許某些訪問,則需要同時添加相應(yīng)的入站規(guī)則和出站規(guī)則。若只添加入站規(guī)則,未添加出站規(guī)則,則會導(dǎo)致訪問異常。

關(guān)聯(lián)子網(wǎng)

創(chuàng)建網(wǎng)絡(luò)ACL后,用戶可將該ACL與所屬VPC下的任意子網(wǎng)進(jìn)行綁定和解綁。綁定子網(wǎng)前,請確保ACL中的規(guī)則正確,以免影響關(guān)聯(lián)子網(wǎng)中云資源的正常通信。

出站/入站規(guī)則

網(wǎng)絡(luò)ACL 規(guī)則分為出站規(guī)則和入站規(guī)則。用戶對網(wǎng)絡(luò)ACL規(guī)則的更新,會自動應(yīng)用到與其相關(guān)聯(lián)的子網(wǎng)。

允許添加的出站/入站規(guī)則數(shù)量上限各為50條。

網(wǎng)絡(luò) ACL 規(guī)則包括以下組成部分:

  • 策略:允許或拒絕。
  • 來源IP/目標(biāo)IP:出站/入站規(guī)則針對的網(wǎng)段。
  • 協(xié)議類型:支持TCP、UDP、ICMP和GRE協(xié)議類型,可選擇ALL來指定所有協(xié)議類型。
  • 目標(biāo)端口:TCP和UDP協(xié)議類型允許填寫的端口范圍為1-65535。其他協(xié)議類型無需指定端口。
  • 優(yōu)先級:規(guī)則對應(yīng)的優(yōu)先級,數(shù)字越小,優(yōu)先級越高。可填寫范圍為1-30000。同一優(yōu)先級的出站/入站規(guī)則只能創(chuàng)建一條。
  • 應(yīng)用目標(biāo):ACL規(guī)則的生效范圍。支持子網(wǎng)內(nèi)全部資源、子網(wǎng)內(nèi)指定資源。"子網(wǎng)內(nèi)全部資源"即該規(guī)則對綁定該ACL的子網(wǎng)內(nèi)所有資源均生效(負(fù)載均衡ULB和物理云主機除外);"子網(wǎng)內(nèi)指定資源"即該規(guī)則僅對選中的資源生效,不對子網(wǎng)內(nèi)未選中的資源生效。

注意: 創(chuàng)建網(wǎng)絡(luò)ACL后,系統(tǒng)會自動添加一條默認(rèn)出站規(guī)則和一條默認(rèn)入站規(guī)則。

默認(rèn)出站規(guī)則即為全部協(xié)議、全部端口流量的出站允許。


默認(rèn)入站規(guī)則即為全部協(xié)議、全部端口流量的入站允許。

默認(rèn)規(guī)則不允許編輯和刪除,創(chuàng)建ACL時就存在。

默認(rèn)規(guī)則優(yōu)先級最低,可通過添加優(yōu)先級更高的規(guī)則來覆蓋默認(rèn)規(guī)則。

產(chǎn)品配額

每個網(wǎng)絡(luò)ACL配額如下(不包含默認(rèn)規(guī)則)

名稱配額
出站規(guī)則數(shù)量100
入站規(guī)則數(shù)量100

ACL規(guī)劃

當(dāng)前新建的ACL表默認(rèn)是黑名單模式的,默認(rèn)的出站和入站規(guī)則均為優(yōu)先級最低的“全部放行”規(guī)則。在實際場景中,ACL由于其無狀態(tài)的性質(zhì),設(shè)定非常復(fù)雜。下文將介紹ACL規(guī)則設(shè)定的要點,以及如何根據(jù)場景設(shè)置恰當(dāng)?shù)腁CL規(guī)則。

ACL規(guī)則建議

設(shè)定ACL規(guī)則的時候,建議如下:

  • ACL規(guī)則是無狀態(tài)的,因此設(shè)定規(guī)則的時候需要同時考慮出站、入站兩個方向。
  • UCloud ACL產(chǎn)品默認(rèn)生效級別為單一云資源。例如添加一條目標(biāo)地址為0.0.0.0/0的拒絕規(guī)則,那么主機與同子網(wǎng)內(nèi)的主機的互通也會受到影響。因此需要額外添加一條針對同子網(wǎng)網(wǎng)段的放行規(guī)則。
  • 同一張ACL表中的不同入站規(guī)則,不允許優(yōu)先級相同。同一張ACL表中的不同出站規(guī)則,不允許優(yōu)先級相同。
  • ACL規(guī)則設(shè)置,需要盡可能的靠近流量的源頭。例如禁止某個IP對子網(wǎng)資源的訪問,在出站規(guī)則和入站規(guī)則做黑名單都可以達(dá)到效果。應(yīng)當(dāng)設(shè)置入站規(guī)則,拒絕流量流入。
  • UCloud公共服務(wù)網(wǎng)段需要放行,否則將無法正常使用ULB、yum源、NTP、內(nèi)網(wǎng)DNS等服務(wù)。公共服務(wù)網(wǎng)段參見公共服務(wù)網(wǎng)段。

ACL案例

下面通過一個例子來介紹如何配置ACL規(guī)則。

網(wǎng)絡(luò)架構(gòu)如下圖:

在這個例子中,需要為UCloud廣州Region的子網(wǎng)A配置ACL規(guī)則。子網(wǎng)A需要滿足如下規(guī)則:

  • 子網(wǎng)A的網(wǎng)段為10.10.1.0/24子網(wǎng)內(nèi)部全部互通。
  • 子網(wǎng)A的22端口,能且僅能被子網(wǎng)B訪問,子網(wǎng)B的網(wǎng)段為192.168.1.0/24.
  • 子網(wǎng)A的云資源僅能訪問8.8.8.8的53端口(UDP/TCP),不能訪問其他外網(wǎng)地址。
  • 子網(wǎng)A的云資源 80端口能被任意地址訪問。
  • 子網(wǎng)A可以正常使用UCloud提供的公共服務(wù)。

其余流量均禁止。

那么子網(wǎng)A的ACL規(guī)則應(yīng)當(dāng)配置如下:

  • 入站規(guī)則
優(yōu)先級目標(biāo)端口協(xié)議源地址策略描述
122TCP192.168.1.0/24接受允許子網(wǎng)B訪問22端口
280TCP0.0.0.0/0接受允許任意地址訪問80端口
332768-65535TCP8.8.8.8/32接受允許子網(wǎng)內(nèi)主機訪問8.8.8.8的TCP 53端口,臨時端口放行。
432768-65535UDP8.8.8.8/32接受允許子網(wǎng)內(nèi)主機訪問8.8.8.8的UDP 53端口,臨時端口放行。
5ALLALL10.10.1.0/24接受允許子網(wǎng)內(nèi)主機互通
6ALLALL10.13.192.0/18接受允許公共服務(wù)的訪問
30000ALLALL0.0.0.0/0拒絕默認(rèn)拒絕所有流量
*ALLALL0.0.0.0/0接受默認(rèn)放行所有流量,創(chuàng)建時系統(tǒng)自動添加。優(yōu)先級最低。
  • 出站規(guī)則
優(yōu)先級目標(biāo)端口協(xié)議目標(biāo)地址策略描述
153TCP8.8.8.8/32接受允許子網(wǎng)內(nèi)主機訪問8.8.8.8的TCP53端口
253UDP8.8.8.8/32接受允許子網(wǎng)內(nèi)主機訪問8.8.8.8的UDP53端口
332768-65535TCP0.0.0.0/0接受允許80端口對外訪問,允許22端口對子網(wǎng)B訪問,臨時端口放行。
4ALLALL10.10.1.0/24接受允許子網(wǎng)內(nèi)主機互通
5ALLALL10.13.192.0/18接受允許公共服務(wù)的訪問
30000ALLALLALL拒絕默認(rèn)拒絕所有流量
*ALLALL0.0.0.0/0接受默認(rèn)放行所有流量,創(chuàng)建時系統(tǒng)自動添加。優(yōu)先級最低。

ACL規(guī)則分析

以“子網(wǎng)A的22端口,能且僅能被子網(wǎng)B訪問,子網(wǎng)B的網(wǎng)段為192.168.1.0/24.”這條規(guī)則為例,分析方式如下:

其中臨時端口是TCP、UDP等協(xié)議在主動發(fā)起連接的時候,從預(yù)設(shè)的范圍內(nèi)可以分配到的端口。該端口僅在連接生命周期內(nèi)處于被占用狀態(tài)。該范圍可以通過以下方式獲得:

cat /proc/sys/net/ipv4/ip_local_port_range

可以利用下列命令進(jìn)行臨時端口范圍的修改:

echo "32768 65535" >  /proc/sys/net/ipv4/ip_local_port_range

本文使用“32768-65535”指代臨時端口。
如上,分別標(biāo)記出子網(wǎng)A的22端口被子網(wǎng)B訪問的四元組。那么在默認(rèn)規(guī)則為拒絕的條件下,需要添加如下入站和出站規(guī)則:

  • 入站規(guī)則
優(yōu)先級目標(biāo)端口協(xié)議源地址行為描述
122TCP192.168.1.0/24接受允許子網(wǎng)B訪問22端口
  • 出站規(guī)則
優(yōu)先級目標(biāo)端口協(xié)議目標(biāo)地址行為描述
132768-65535TCP192.168.1.0/24接受允許子網(wǎng)B訪問22端口

其余場景,也可以通過列舉入向、出向的五元組(源目的IP、端口,以及使用協(xié)議)分析得到。

網(wǎng)絡(luò)ACL

網(wǎng)絡(luò)ACL是子網(wǎng)級別的安全策略,用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。用戶可以通過設(shè)置出站規(guī)則和入站規(guī)則,對進(jìn)出子網(wǎng)的流量進(jìn)行精確控制。

創(chuàng)建ACL

  • 登錄控制臺,選擇【產(chǎn)品與服務(wù)】中“私有網(wǎng)絡(luò)VPC”,進(jìn)入私有網(wǎng)絡(luò)頁面??稍诰W(wǎng)絡(luò)ACL標(biāo)簽中點擊“創(chuàng)建ACL”按鈕創(chuàng)建ACL實例。

image

  • 選擇ACL所屬的VPC,輸入ACL名稱,點擊“確定”。

image

  • 創(chuàng)建完成,在列表中可以看到新建的ACL實例。

image

編輯入站規(guī)則

  • 在詳情頁中,選擇“入站規(guī)則”標(biāo)簽頁。點擊“添加入站規(guī)則”即可添加入站規(guī)則。

在彈出的編輯框中,選擇策略、協(xié)議類型,填寫來源IP、端口和優(yōu)先級等信息。點擊“確定”即可添加。

image

  • 添加完成后,可對規(guī)則進(jìn)行編輯和刪除操作。其中默認(rèn)規(guī)則不允許編輯和刪除。

image

編輯出站規(guī)則

  • 在詳情頁中,選擇“出站規(guī)則”標(biāo)簽頁。點擊“添加出站規(guī)則”即可添加入站規(guī)則。

在彈出的編輯框中,選擇策略、協(xié)議類型,填寫目標(biāo)IP、端口和優(yōu)先級等信息。點擊“確定”即可添加。

image

  • 添加完成后,可對規(guī)則進(jìn)行編輯和刪除操作。其中默認(rèn)規(guī)則不允許編輯和刪除。

image

關(guān)聯(lián)子網(wǎng)

規(guī)則編輯完成后,可點擊“詳情”進(jìn)入ACL概覽頁。點擊“綁定”,可將ACL與所屬VPC下的子網(wǎng)進(jìn)行綁定。

image

  • 點擊“確定”后,即可綁定。

image

  • 點擊“解綁“,可將ACL與子網(wǎng)解綁??蛇M(jìn)行批量解綁操作。

image

實時文檔請點擊最新文檔https://docs.ucloud.cn/vpc/introduction/acl

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/126175.html

相關(guān)文章

  • 概覽 私有網(wǎng)絡(luò) UVPC

    摘要:概覽概覽產(chǎn)品簡介產(chǎn)品簡介和子網(wǎng)簡介網(wǎng)關(guān)簡介內(nèi)網(wǎng)簡介網(wǎng)絡(luò)簡介路由表簡介計費說明使用限制規(guī)劃建議規(guī)劃規(guī)劃快速上手搭建網(wǎng)絡(luò)創(chuàng)建創(chuàng)建子網(wǎng)添加云主機創(chuàng)建網(wǎng)關(guān)綁定網(wǎng)絡(luò)操作指南子網(wǎng)網(wǎng)關(guān)內(nèi)網(wǎng)網(wǎng)絡(luò)路由表 概覽產(chǎn)品簡介產(chǎn)品簡介VPC和子網(wǎng)簡介NAT網(wǎng)關(guān)簡介內(nèi)網(wǎng)VIP簡介網(wǎng)絡(luò)ACL簡介路由表簡介計費說明 使用限制規(guī)劃建議ACL規(guī)劃VPC規(guī)劃快速上手搭建VPC網(wǎng)絡(luò)Step1 創(chuàng)建VPCStep2 創(chuàng)建子網(wǎng)St...

    ernest.wang 評論0 收藏1751

  • 產(chǎn)品簡介 私有網(wǎng)絡(luò) UVPC

    摘要:在私有網(wǎng)絡(luò)中,可以創(chuàng)建指定網(wǎng)段的,在中創(chuàng)建子網(wǎng)并自主管理云資源。這些獨立的網(wǎng)絡(luò)段叫做子網(wǎng)。網(wǎng)絡(luò)是子網(wǎng)級別的安全策略,用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。 產(chǎn)品簡介本篇目錄私有網(wǎng)絡(luò)簡介私有網(wǎng)絡(luò)組件私有網(wǎng)絡(luò)簡介私有網(wǎng)絡(luò) VPC(Virtual Private Cloud)是屬于用戶的、邏輯隔離的網(wǎng)絡(luò)環(huán)境。在私有網(wǎng)絡(luò)中,可以創(chuàng)建指定網(wǎng)段的VPC,在VPC中創(chuàng)建子網(wǎng)并自主管理云資源,同時通過網(wǎng)絡(luò)ACL實現(xiàn)安全...

    ernest.wang 評論0 收藏826

  • 網(wǎng)絡(luò)ACL簡介 私有網(wǎng)絡(luò) UVPC

    摘要:網(wǎng)絡(luò)簡介網(wǎng)絡(luò)簡介本篇目錄關(guān)聯(lián)子網(wǎng)關(guān)聯(lián)子網(wǎng)出站入站規(guī)則出站入站規(guī)則產(chǎn)品配額產(chǎn)品配額網(wǎng)絡(luò)是子網(wǎng)級別的安全策略,用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。用戶對網(wǎng)絡(luò)規(guī)則的更新,會自動應(yīng)用到與其相關(guān)聯(lián)的子網(wǎng)。支持子網(wǎng)內(nèi)全部資源子網(wǎng)內(nèi)指定資源。 網(wǎng)絡(luò)ACL簡介本篇目錄關(guān)聯(lián)子網(wǎng)出站/入站規(guī)則產(chǎn)品配額網(wǎng)絡(luò)ACL是子網(wǎng)級別的安全策略,用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。用戶可以通過設(shè)置出站規(guī)則和入站規(guī)則,對進(jìn)出子網(wǎng)的流量進(jìn)行精確控制...

    ernest.wang 評論0 收藏171

  • 網(wǎng)絡(luò)ACL 私有網(wǎng)絡(luò) UVPC

    摘要:用戶可以通過設(shè)置出站規(guī)則和入站規(guī)則,對進(jìn)出子網(wǎng)的流量進(jìn)行精確控制。創(chuàng)建創(chuàng)建創(chuàng)建登錄控制臺,選擇產(chǎn)品與服務(wù)中私有網(wǎng)絡(luò),進(jìn)入私有網(wǎng)絡(luò)頁面。點擊綁定,可將與所屬下的子網(wǎng)進(jìn)行綁定。 網(wǎng)絡(luò)ACL本篇目錄創(chuàng)建ACL編輯入站規(guī)則編輯出站規(guī)則關(guān)聯(lián)子網(wǎng)網(wǎng)絡(luò)ACL是子網(wǎng)級別的安全策略,用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。用戶可以通過設(shè)置出站規(guī)則和入站規(guī)則,對進(jìn)出子網(wǎng)的流量進(jìn)行精確控制。 創(chuàng)建ACL 登錄控制臺,選擇【產(chǎn)品...

    ernest.wang 評論0 收藏1303

  • 計費說明 私有網(wǎng)絡(luò) UVPC

    摘要:計費說明計費說明計費說明私有網(wǎng)絡(luò)子網(wǎng)網(wǎng)絡(luò)均為免費產(chǎn)品,不需支付任何費用。網(wǎng)關(guān)為免費產(chǎn)品,但所綁定的彈性為收費產(chǎn)品,具體價格參考彈性產(chǎn)品價格。 計費說明私有網(wǎng)絡(luò)VPC、子網(wǎng)、網(wǎng)絡(luò)ACL均為免費產(chǎn)品,不需支付任何費用。NAT網(wǎng)關(guān)為免費產(chǎn)品,但所綁定的彈性IP為收費產(chǎn)品,具體價格參考彈性IP產(chǎn)品價格。

    ernest.wang 評論0 收藏1435

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<