网络acl配置示例-凯发k8国际娱乐官网入口
介绍常见的网络acl配置示例。
拒绝特定端口访问
在本示例中,假设要防止勒索病毒wanna cry的攻击,需要隔离具有漏洞的应用端口,例如tcp 445端口。您可以在子网层级添加网络acl拒绝规则,拒绝所有对tcp 445端口的入站访问。
网络acl配置
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
拒绝 |
tcp |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
445 |
拒绝所有ip地址通过tcp 445端口入站访问 |
入方向 |
允许 |
全部 |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
全部 |
放通所有入站流量 |
- 网络acl默认拒绝所有入站流量,需先放通所有入站流量。
- 当添加了拒绝的规则,并且希望拒绝规则优先匹配时,需要将拒绝的规则放到允许规则的前面,匹配到拒绝规则的流量将会生效。具体操作请参见。
允许某些协议端口的访问
在本示例中,假设子网内的某个弹性云服务器做web服务器,入方向需要放通http 80和https 443端口,出方向全部放通。当子网开启网络acl时,需要同时配置网络acl和安全组规则。
网络acl配置
需要添加的网络acl入方向、出方向规则如表2所示。
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
允许 |
tcp |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
80 |
允许所有ip地址通过http协议入站访问子网内的弹性云服务器的80端口 |
入方向 |
允许 |
tcp |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
443 |
允许所有ip地址通过https协议入站访问子网内的弹性云服务器的443端口 |
出方向 |
允许 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
允许子网内所有出站流量的数据报文通过 |
安全组配置
需要添加的安全组入方向、出方向规则如表3所示。
方向 |
协议/应用 |
端口 |
源地址/目的地址 |
说明 |
---|---|---|---|---|
入方向 |
tcp |
80 |
源地址:0.0.0.0/0 |
允许所有ip地址通过http协议入站访问安全组内的弹性云服务器的80端口 |
入方向 |
tcp |
443 |
源地址:0.0.0.0/0 |
允许所有ip地址通过https协议入站访问安全组内的弹性云服务器的443端口 |
出方向 |
全部 |
全部 |
目的地址:0.0.0.0/0 |
允许安全组内所有出站流量的数据报文通过 |
网络acl相当于一个额外的保护层,就算不小心配置了比较宽松的安全组规则,网络acl规则也仅允许http 80和https 443的访问,拒绝其他的入站访问流量。
拒绝某ip地址的访问
在本示例中,假设要禁止一些异常ip的访问,例如:192.168.1.102,您可以在子网层级添加网络acl拒绝规则,拒绝192.168.1.102的入站访问。
网络acl配置
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|
入方向 |
拒绝 |
tcp |
192.168.1.102/32 |
1-65535 |
0.0.0.0/0 |
全部 |
拒绝192.168.1.102对子网的访问 |
入方向 |
允许 |
全部 |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
全部 |
放通所有入站流量 |
- 网络acl默认拒绝所有入站流量,需先放通所有入站流量。
- 当添加了拒绝的规则,并且希望拒绝规则优先匹配时,需要将拒绝的规则放到允许规则的前面,匹配到拒绝规则的流量将会生效。具体操作请参见。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨