安全组与网络acl区别-凯发k8国际娱乐官网入口
通过配置网络acl和安全组策略,可以保障虚拟私有云内的实例安全运行,比如弹性云服务器、数据库、云容器实例等。
- 安全组对实例进行防护,将实例加入安全组内,该实例将会受到安全组的保护。
- 网络acl对整个子网进行防护,将子网关联至网络acl,则子网内的所有实例都会受到网络acl保护。相比安全组,网络acl的防护范围更大。
安全组和网络acl的关系如图1所示。本示例中,安全组a和安全组b可以保护其中ecs的网络安全,通过网络acl a和网络acl b,可以分别保护整个子网1和子网2的安全,双层防护提升安全保障。
对比项 |
安全组 |
网络acl |
---|---|---|
防护范围 |
安全组防护安全组内的实例,比如弹性云服务器、数据库、云容器实例等。 |
网络acl防护整个子网,子网内的所有实例都会受到网络acl保护。 |
规则策略 |
安全组支持设置允许和拒绝策略。
拒绝策略部分区域支持,具体请打开,并选择“安全组”查看。 |
网络acl支持设置允许和拒绝策略。
|
规则生效顺序 |
当实例上绑定多个安全组,并且安全组中存在多条规则时,生效顺序如下:
安全组优先级部分区域支持,具体请打开,并选择“安全组”查看。 |
一个子网只能绑定一个网络acl,当网络acl存在多条规则时,根据规则的优先级进行生效,优先级数字越小,优先级越高。 |
应用操作 |
|
创建子网没有网络acl选项,需要先创建网络acl,添加出入规则,并在网络acl内关联子网。当网络acl状态为已开启,将会对子网生效。 |
报文组 |
支持报文三元组(即协议、端口和源/目的地址)过滤。 |
支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。 |
安全组和网络acl规则的匹配顺序
当安全组和网络acl同时存在时,流量优先匹配网络acl的规则,然后匹配安全组规则,以入方向流量为例,以下将通过具体的示例,为您详细介绍安全组和网络acl规则的匹配顺序。
- 子网subnet-a上关联了网络acl fw-a。fw-a中的默认规则不能删除,流量优先匹配已添加的自定义规则,网络acl规则示例请参见表2
- 弹性云服务器ecs-a由安全组sg-a来防护。创建安全组sg-a时,您可以选择已有模板,系统会自动添加部分规则,创建完成后可以对系统自带规则进行修改或者删除,也可以添加自定义规则,安全组规则示例请参见表3。
规则方向 |
优先级 |
类型 |
策略 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
---|---|---|---|---|---|---|---|---|---|
入方向 |
1 |
ipv4 |
拒绝 |
全部 |
10.0.1.0/24 |
全部 |
0.0.0.0/0 |
全部 |
自定义网络acl规则01:拒绝来自特定ip地址10.0.1.0/24网段的流量流入子网内 |
入方向 |
2 |
ipv4 |
允许 |
tcp |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
80-85 |
自定义网络acl规则02:允许所有流量访问子网内实例的80-85端口 |
入方向 |
* |
-- |
拒绝 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
默认网络acl规则:拒绝所有流量流入子网 |
出方向 |
1 |
ipv4 |
允许 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
自定义网络acl规则03:允许所有流量流出子网 |
出方向 |
* |
-- |
拒绝 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
默认网络acl规则:拒绝所有流量流出子网 |
规则方向 |
优先级 |
策略 |
类型 |
协议端口 |
源地址/目的地址 |
描述 |
---|---|---|---|---|---|---|
入方向 |
1 |
允许 |
ipv4 |
自定义tcp:80 |
源地址:0.0.0.0/0 |
自定义安全组规则01:针对全部ipv4协议,允许所有流量访问实例的80端口 |
入方向 |
1 |
拒绝 |
ipv4 |
自定义tcp:82-83 |
源地址:0.0.0.0/0 |
自定义安全组规则02:针对全部ipv4协议,拒绝所有流量访问实例的82和83端口 |
入方向 |
1 |
允许 |
ipv4 |
全部 |
源地址:本安全组(sg-a) |
系统自带安全组规则:针对全部ipv4协议,允许本安全组内实例的流量流入,确保安全组内实例网络互通 |
入方向 |
1 |
允许 |
ipv6 |
全部 |
源地址:本安全组(sg-a) |
系统自带安全组规则:针对全部ipv6协议,允许本安全组内实例的流量流入,确保安全组内实例网络互通 |
出方向 |
1 |
允许 |
ipv4 |
全部 |
目的地址:0.0.0.0/0 |
系统自带安全组规则:针对全部ipv4协议,允许所有流量流出实例 |
出方向 |
1 |
允许 |
ipv6 |
全部 |
目的地址:::/0 |
系统自带安全组规则:针对全部ipv6协议,允许所有流量流出实例 |
基于以上假设场景,不同入方向流量对规则的匹配情况如表4所示。
序号 |
流量匹配顺序说明 |
示例说明 |
---|---|---|
1 |
流量优先匹配网络acl规则:
流量匹配网络acl规则的顺序,具体请参见。 |
|
2 |
当流量通过网络acl进入子网时,流量进一步匹配安全组规则:
流量匹配安全组规则的顺序,具体请参见。 |
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨