虚拟私有云VPC网络ACL是什么？（虚拟私有云vpc有什么用）

虚拟私有云VPC网络ACL是什么？（虚拟私有云vpc有什么用）

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。

网络ACL基本信息

您的VPC默认没有网络ACL。当您需要时，可以创建自定义的网络ACL并将其与子网关联。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。网络ACL可以关联多个子网，但一个子网同一时间只能关联一个网络ACL。每个新创建的网络ACL最初都为未激活状态，直至您关联子网为止。

网络ACL默认规则

每个网络ACL都包含一组默认规则，如下所示：

默认放通同一子网内的流量。默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。默认放通目的IP地址为169.254.169.254/32，TCP端口为80的metadata报文。用于获取元数据。默认放通公共服务预留网段资源的报文，例如目的网段为100.125.0.0/16的报文。除上述默认放通的流量外，其余出入子网的流量全部拒绝，如表1所示。该规则不能修改和删除。表1 网络ACL默认规则方向优先级动作协议源地址目的地址说明入方向*拒绝全部0.0.0.0/00.0.0.0/0拒绝所有入站流量出方向*拒绝全部0.0.0.0/00.0.0.0/0拒绝所有出站流量

规则优先级

网络ACL规则的优先级使用“优先级”值来表示，优先级的值越小，优先级越高，最先应用。优先级的值为“*”的是默认规则，优先级最低。多个网络ACL规则冲突，优先级高的规则优先生效。若某个规则需要优先或落后生效，可在对应规则（需要优先或落后于某个规则生效的规则）前面或后面插入此规则。

应用场景

由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶意用户的非正常访问呢？解决方案：通过网络ACL添加拒绝规则，拒绝恶意IP的访问。隔离具有漏洞的应用端口，比如Wanna Cry，关闭445端口解决方案：通过网络ACL添加拒绝规则，拒绝恶意协议和端口，比如TCP：445端口。子网内的通信无防护诉求，仅有子网间的访问限制。解决方案：通过网络ACL设置子网间的访问规则对访问频繁的应用，调整安全规则顺序，提高性能。解决方案：网络ACL支持规则编排，可以把访问频繁的规则置顶。