网络ACL和安全组简介

为了虚机和网络安全，华为云提供了安全组和网络ACL两层防护。两者的概念非常类似。

安全组定义了哪些进入的网络流量能被转发给虚机。安全组包含一组访问控制策略，称为安全组规则（Security Group Rule）。可以定义多个安全组，每个安全组可以有多个规则，每个实例可以绑定多个安全组。

网络ACL则作用于subnet上，可以在安全组之前隔离外部过来的恶意流量，对进出租户网络的流量进行过滤。

它们都通过控制 Linux Iptables来控制进出虚机或者租户网络的网络包，但是在不同的位置使用不同的方法来实现不同的目的，可以同时部署防火墙和安全组实现双重防护。

网络ACL VS 安全组

网络ACL业务场景

网络ACL之大施拳脚

    场景一：由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶意的用户的非正常访问呢？

    网络ACL解决方案：添加丢弃规则，拒绝恶意IP的访问

    场景二：隔离具有漏洞的应用端口，比如wanna cry，关闭445端口

    网络ACL解决方案：添加丢弃规则，拒绝恶意协议和端口，比如tcp:445

    场景三：子网内东西向无防护诉求，仅有南北向的访问限制

    网络ACL解决方案：只需设置南北向访问规则

    场景四：对访问频繁的应用，调整规则顺序，提高性能

    网络ACL解决方案：支持规则编排，可以把访问频繁的规则置顶

网络ACL之小试牛刀

        应用场景：隔离具有漏洞的应用端口，比如wanna cry，关闭445端口。

    网络ACL实现方案：

    1.创建网络ACL

    2.  绑定到子网，选择网络ACL要部署到哪个子网上

    3. 设置访问控制的规则，包括源和目的子网、源和目的端口、协议、动作等

    通常出于安全考虑，网络ACL入方向、出方向都会预置一条最低优先权的默认规则deny all ，因此，默认情况下，没有任何规则的一个网络ACL是屏蔽所有流量，需要根据实际业务需求配置出、入方向规则。

网络ACL特性列表