Сценарии
Вы можете добавить входящие и исходящие правила к network ACL чтобы контролировать входящий и исходящий трафик подсети. Network ACL правила сопоставляются в порядке возрастания, либо по системно‑сгенерированным номерам правил, либо по тем, которые вы задаёте.
- Добавление правила Network ACL (Номера правил по умолчанию): Правила сопоставляются в порядке их номера, начиная с самого низкого. Номер правила назначается автоматически.
Как показано в Table 1, есть два пользовательских входящих правила (правило A и правило B) и одно правило по умолчанию. Приоритет правила A равен 1, а правила B — 2. Правило по умолчанию имеет самый низкий приоритет. Если добавить правило C, система назначит ему приоритет 3, который ниже приоритета правил A и B и выше приоритета правила по умолчанию.
Table 1 Приоритеты по умолчанию Приоритет (правила A и B)
Приоритет (правила A, B и C)
Пользовательское правило A
1
Пользовательское правило A
1
--
--
Пользовательское правило B
2
Пользовательское правило B
2
Пользовательское правило C
3
Правило по умолчанию
*
Правило по умолчанию
*
- Добавление правила сетевого ACL (номера пользовательских правил): Если вы хотите, чтобы правило срабатывало раньше или позже конкретного правила, вы можете вставить правило выше или ниже конкретного правила.
В Таблица 2, существует два пользовательских входящих правила (rule A и rule B) и одно правило по умолчанию. Приоритет rule A равен 1, а у rule B – 2. Правило по умолчанию имеет наименьший приоритет. Если вы хотите, чтобы rule C срабатывал раньше, чем rule B, вы можете вставить rule C выше rule B. После добавления rule C приоритет rule C будет 2, а у rule B – 3.
Таблица 2 Пользовательские приоритеты Приоритет (правила A и B)
Приоритет (правила A, B и C)
Пользовательское правило A
1
Пользовательское правило A
1
--
--
Пользовательское правило C
2
Пользовательское правило B
2
Пользовательское правило B
3
правило по умолчанию
*
правило по умолчанию
*
добавление сетевой ACL правило (номера правил по умолчанию)
- Войдите в консоль управления.
- нажмите
в верхнем левом углу и выберите Сеть > Virtual Private Cloud.Этот Virtual Private Cloud страница отображается.
- В навигационной панели слева выберите контроль доступа > сетевой ACLs.
Элемент сетевой ACL список отображён.
- В сетевой ACL списке, найдите целевой сетевой ACL и нажмите его имя.
Элемент сетевой ACL страница сводки отображена.
- На Входящие правила или Исходящие правила вкладка, нажмите Добавить правило.
Элемент Добавить входящее правило или Добавить исходящее правило диалоговое окно отображено.
- Настройте необходимые параметры.
- Нажмите
чтобы добавить больше правил. - Найдите строку, содержащую сетевой ACL правило и нажмите Реплицировать в Операция столбце для репликации существующего правила.
Таблица 3 Описание параметров Параметр
Описание
Пример значения
Тип
Сетевой ACL тип. Есть два варианта:
- IPv4
- IPv6
IPv4
Действие
Действие для network ACL правило. Есть два варианта:
- Разрешить: разрешает совпадающий трафик в подсети и из неё.
- Запретить: запрещает совпадающий трафик в подсети и из неё.
Разрешить
Протокол
Протокол, поддерживаемый network ACL для сопоставления трафика. Значение может быть TCP, UDP, или ICMP.
TCP
Источник
Источник, откуда разрешён трафик. Источник может быть IP‑адресом, диапазоном IP‑адресов или группой IP‑адресов.
Либо источник, либо назначение могут использовать группу IP-адресов.
- IP-адрес:
- Один IP-адрес: 192.168.10.10/32 (IPv4); 2002:50::44/128 (IPv6)
- Все IP-адреса: 0.0.0.0/0 (IPv4); ::/0 (IPv6)
- Диапазон IP-адресов: 192.168.1.0/24 (IPv4); 2407:c080:802:469::/64 (IPv6)
- Группа IP-адресов: ipGroup-A
192.168.0.0/24
Source Port Range
Порты источника или диапазоны портов, используемые для сопоставления трафика. Значение находится в диапазоне от 1 до 65535.
22-30
Destination
Назначение, к которому разрешён трафик. Назначение может быть IP-адресом, диапазоном IP-адресов или группой IP-адресов.
Либо источник, либо назначение могут использовать группу IP-адресов.
- IP-адрес:
- Один IP-адрес: 192.168.10.10/32 (IPv4); 2002:50::44/128 (IPv6)
- Все IP-адреса: 0.0.0.0/0 (IPv4); ::/0 (IPv6)
- Диапазон IP-адресов: 192.168.1.0/24 (IPv4); 2407:c080:802:469::/64 (IPv6)
- Группа IP-адресов: ipGroup-A
0.0.0.0/0
Диапазон портов назначения
Порты назначения или диапазоны портов, используемые для сопоставления трафика. Значение находится в диапазоне от 1 до 65535.
22-30
Описание
Дополнительная информация о сетевой ACL правило. Этот параметр необязателен.
Описание может содержать не более 255 символов и не должно включать угловые скобки (< или >).
N/A
- Нажмите
- Нажмите OK.
Вернитесь к списку правил, чтобы проверить новое правило.
Добавление Сетевой ACL Правило (Пользовательские номера правил)
- Войдите в консоль управления.
- Нажмите
в верхнем левом углу и выберите Сеть > Virtual Private Cloud.Эта Virtual Private Cloud страница отображается.
- В панели навигации слева выберите Контроль доступа > Сетевой ACLs.
Эта сетевой ACL список отображается.
- В сетевой ACL список, найти цель сетевой ACL и нажмите его имя.
The сетевой ACL страница сводки отображается.
- Нажмите Входящие правила или Исходящие правила вкладку и добавьте правило.
- Найдите целевое правило и выберите Еще > Вставить правило выше в Операция столбце. Новое правило будет применяться раньше текущего правила.
- Найдите целевое правило и выберите Еще > Insert Rule Below в Операция столбец. Новое правило будет сопоставлено позже, чем текущее правило.