网络ACL简介

网络ACL是子网级别的安全策略，用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则，对进出子网的流量进行精确控制。

网络ACL是无状态的，例如用户如果需要允许某些访问，则需要同时添加相应的入站规则和出站规则。若只添加入站规则，未添加出站规则，则会导致访问异常。

ACL规则对快杰云主机、物理云主机、ULB、VIP及基于VIP架构实现的实例不生效。具体以控制台为准。

关联子网

创建网络ACL后，用户可将该ACL与所属VPC下的任意子网进行绑定和解绑。绑定子网前，请确保ACL中的规则正确，以免影响关联子网中云资源的正常通信。

出站／入站规则

网络ACL 规则分为出站规则和入站规则。用户对网络ACL规则的更新，会自动应用到与其相关联的子网。

允许添加的出站／入站规则数量上限各为50条。

网络 ACL 规则包括以下组成部分：

• 策略：允许或拒绝。
• 来源IP／目标IP：出站／入站规则针对的网段。
• 协议类型：支持TCP、UDP、ICMP和GRE协议类型，可选择ALL来指定所有协议类型。
• 目标端口：TCP和UDP协议类型允许填写的端口范围为1-65535。其他协议类型无需指定端口。
• 优先级：规则对应的优先级，数字越小，优先级越高。可填写范围为1-30000。同一优先级的出站／入站规则只能创建一条。
• 应用目标：ACL规则的生效范围。支持子网内全部资源、子网内指定资源。“子网内全部资源”即该规则对绑定该ACL的子网内所有资源均生效（快杰云主机、物理云主机和ULB除外）；“子网内指定资源”即该规则仅对选中的资源生效（不支持指定高可用版UDB），不对子网内未选中的资源生效。

注意： 创建网络ACL后，系统会自动添加一条默认出站规则和一条默认入站规则。

默认出站规则即为全部协议、全部端口流量的出站允许。

默认入站规则即为全部协议、全部端口流量的入站允许。

默认规则优先级最低，可通过添加优先级更高的规则来覆盖默认规则。

产品配额

每个网络ACL配额如下（不包含默认规则）