网络ACL
网络ACL和安全组都是可以通过定义规则来实现数据的过滤。
ACL(Access Control List)访问控制列表,是一个无状态的虚拟防火墙,可以通过网络ACL来配置什么样的数据包是允许放行的或者定义什么样的数据是不允许放行的,这里需要注意,网络ACL是关联到子网级别,所以说控制的是子网类的云主机或者原生容器实例他们的访问服务,哪些是可以来自被外部用户访问到,或者定义原生容器实例或者云主机哪些访问通讯是不能对外通讯的或者是可以访问外网的。可以关联到整个子网的云主机实例及原生容器实例。
默认情况下,网络ACL是否开启?
默认情况下,网络ACL是没有开启的,如果启用了网络安全ACL并关联到子网,这时候会默认阻止所有的入站通讯,即过滤掉来自外部的访问,包括所有的出站通讯,也会被过滤掉,要允许某些数据包的入站允许或者某些数据包的出站允许,必须要定义相应的访问规则来放行数据包,启用了ACL并且把ACL关联到子网之后就需要单独的定义入站和出站两个方向的规则。
网络ACL的控制列表
1、用于控制到达这个子网或者离开这个子网的数据流,什么样的数据可以访问,什么样的数据不可以放行
2、默认没有ACL保护的情况下子网中的主机容易遭受到来自外部的非法访问和攻击
3、可以对跨子网的流量进行过滤,比如前端子网web服务器、后端子网数据库服务器,那么就可以在后端子网配置网络ACL只允许对mysql的3306端口的入站访问允许
4、为了实施对一个子网当中的多个云主机实例相同的访问控制划在同一个子网中,对于这个子网来关联ACL,策略针对这个子网的所有主机生效
如何定义网络ACL?
1、优先级:定义了策略的覆盖关系,范围1-32768,数值越小优先级越高。例如要拒绝192.168.1.10/24的主机对外的访问同时允许192.168.1.0/24范围的其他主机可以对外访问,那么可以定义192.168.1.10/24这个主机给他一个较小的优先级,而192.168.1.0/24是涵盖了192.168.1.10/24这个主机,给他一个较低的优先级,会被1.10这个策略的优先级覆盖,如果匹配到1.10这个地址就直接丢弃
2、类型
3、协议
4、端口
5、IP地址
6、策略:允许或者拒绝
网络ACL - 临时端口
在VPC网络内部的云主机实例需要对访问的外网主机,需要对出站规则作相应的配置,出站规则默认情况下临时端口是由客户端来发起的,所以临时端口这一个动态的地址范围。
Linux 内核使用端口范围 32768-61000
Windows Server 2003使用范围端口 1025-5000
Windows Server 2008使用范围端口 49152-65535
网络ACL的约束条件
1、由于是无状态的特效,必须要定义入站、出站规则
2、可以把一个网络ACL关联到多个子网,每一个子网只能关联到一个ACL
创建和编辑ACL
注意:ACL也是具有地域性的,不能关联到不同地域的子网
查看默认的ACL规则中入站、出站规则中,所有的通讯都会被丢包
关联子网
安全组是一个有分布式的有状态的包过滤防火墙,而网络ACL是无状态的防火墙。
无状态防火墙和有状态防火墙的差别
比如开放了外部访问实例,比如这里部署了一个WEB云主机实例,对外部提供服务,配置了允许入站80端口访问到云主机实例,但是没有开放出站80端口允许出站,那么外网用户也是不能访问到云主机实例的,因为没有响应包回去,必须额外定义响应包的允许规则,而有状态防火墙会跟踪应用的状态,所以说只要入站开放规则,而出站会自动允许响应包放行,不需要单独定义出站通讯。
注意:
安全组是关联到弹性计算产品云主机实例或者原生容器实例的弹性网卡上的,所以说是在网卡层次来应用安全控制,属于实例级别的安全控制,而ACL是子网级别的安全控制,是不通层面的安全控制。
1、默认情况下,安全组将丢弃所有的入站流量
2、默认情况下,安全组将允许一条缺省的允许所有流量
3、在每一个区域下,每个私有网络下,可最多创建50个安全组,每一个安全组最多可以添加100条规则,每个云主机实例最多可关联5个安全组,注意定期优化安全组
安全组规则限制
1、来自外部网络的云主机的实例访问就要定义入站方向的允许规则,默认拒绝所有流量
2、云主机实例要对外访问也需要开放出站规则,默认开放TCP 80 UDP 67、68、161端口,其他全部拒绝
3、安全组规则只能是允许规则
创建和配置安全组
创建安全组后配置关联到云主机实例
