网络 ACL 简介

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出 入子网的数据流。

如图2-12所示。

图2-12 安全组与网络 ACL

网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以 启用网络ACL。安全组对云服务器、云容器、云数据库等实例进行防护，网络ACL对子 网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。

网络ACL与安全组的详细区别请参见安全组与网络ACL区别。

网络 ACL 基本信息

● 您的VPC默认没有网络ACL。当您需要时，可以创建自定义的网络ACL并将其与子 网关联。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规 则。

● 网络ACL可以关联多个子网，但一个子网同一时间只能关联一个网络ACL。

● 每个新创建的网络ACL最初都为未激活状态，直至您关联子网为止。

● 网络ACL是有状态的。如果您发送一个出站请求，且该网络ACL的出站规则是放通 的话，那么无论其入站规则如何，都将允许该出站请求的响应流量流入。同理，

如果您发送一个入站请求，且该网络ACL的入站规则是放通的，那无论出站规则 如何，都将允许该入站请求的响应流量可以出站。

不同协议的连接跟踪老化时间不同，已建立连接状态的TCP协议连接老化时间是 600s，ICMP协议老化时间是30s。对于其他协议，如果两个方向都收到了报文，

连接老化时间是180s，如果只是单方向收到了一个或多个包，另一个方向没有收 到包时，老化时间是30s。对于除TCP、UDP或ICMP以外的协议，仅跟踪IP地址和 协议编号。

网络 ACL 默认规则

每个网络ACL都包含一组默认规则，如下所示：

● 默认放通同一子网内的流量。

● 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信 息。

● 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。

● 默认放通目的IP地址为169.254.169.254/32，TCP端口为80的metadata报文。用 于获取元数据。

● 默认放通公共服务预留网段资源的报文，例如目的网段为100.125.0.0/16的报文。

● 除上述默认放通的流量外，其余出入子网的流量全部拒绝，如表2-12所示。该规

部 0.0.0.0/0 0.0.0.0/

0 拒绝所有入站流量 出方向 * 拒

绝 全

部 0.0.0.0/0 0.0.0.0/

0 拒绝所有出站流量

应用场景

● 由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶 意用户的非正常访问呢？

解决方案：通过网络ACL添加拒绝规则，拒绝恶意IP的访问。

● 隔离具有漏洞的应用端口，比如Wanna Cry，关闭445端口

解决方案：通过网络ACL添加拒绝规则，拒绝恶意协议和端口，比如TCP：445端 口。

● 子网内的通信无防护诉求，仅有子网间的访问限制。

解决方案：通过网络ACL设置子网间的访问规则

● 对访问频繁的应用，调整安全规则顺序，提高性能。

解决方案：网络ACL支持规则编排，可以把访问频繁的规则置顶。

网络 ACL 配置流程

子网配置网络ACL的流程，如图2-13所示。

图2-13 网络 ACL 配置流程

1. 参考创建网络ACL创建网络ACL。

2. 参考添加网络ACL规则添加网络ACL规则。

3. 参考将子网和网络ACL关联将子网与网络ACL关联。子网关联后，网络ACL将自动 开启并生效。

网络 ACL 的限制

● 默认情况下，一个用户可以创建200个网络ACL。

● 网络ACL可以关联多个子网，但一个子网同一时间只能关联一个网络ACL。

● 一个网络ACL单方向拥有的规则数量最好不超过20条，否则可能引起网络ACL性能 下降。

● 导入/导出网络ACL规则时，建议您每次导入少于40条的规则，否则可能会影响性 能。导入规则是基于已有规则的增量导入，不会删除已有规则。相同规则不允许 重复导入。