全部建议
>
建议详情
- 预审中
- 预审通过
- 3 未采纳
【用户体验】开发者实验-《网络类基础服务实践》中的一些建议 未采纳 编辑 删除
- 开发者学堂
场景描述:
https://lab.huaweicloud.com/experiment-detail_3676
步骤3 添加子网规则点击左侧的“服务列表”中的虚拟私有云(VPC)->点击左侧栏 “访问控制”->“网络ACL”->点击“fw-test” ,在入方向规则中按照下图添加规则:① 策略:拒绝;② 协议:ICMP;③ 源地址:192.168.1.0/24(子网1)
了解到acl默认的规则就是“禁止”的,且不能删除。所以,添加“拒绝”的策略,个人认为没什么意义……一旦关联上了子网,就算没有添加禁止ICMP报文的acl规则,同样也是无法访问的……你觉得我说得对不对呢 ?
建议方案:
建议修改实验手册。
应该添加“允许”的策略做为example。
David.Lion
发布于 2025-02-21 17:43:45
2025-02-21
1914 3
0%
0%
取消
发表
0/1000
+ 插入图片0/4
仅支持JPG、JPEG、PNG、GIF,数量不超过4张且每张大小不超过2MB
0%
0%
新窗
关闭
删除建议
全部评论(3)
评论(3)
您好,关于您提交的建议产品和研发团队进行了评估,你的分析有一定合理性,部分正确,但 “添加拒绝规则无意义” 的说法不完全准确,需要结合网络 ACL 的 “规则匹配逻辑” 和 “默认规则触发条件” 进一步细化,具体可以从以下角度理解:
网络 ACL 的默认规则特性
网络 ACL(如华为云 VPC 的网络 ACL)的默认规则确实是 “拒绝所有入方向、拒绝所有出方向”,且默认规则不可删除、不可修改。
这意味着:如果未添加任何自定义规则,无论是否关联子网,所有流量(包括 ICMP)都会被默认规则拒绝 —— 这也是你提到 “即使不添加禁止 ICMP 的规则,也无法访问” 的核心原因。
添加 “拒绝 ICMP(源 192.168.1.0/24)” 规则的意义:仅在 “已有允许规则” 时生效
若场景中存在 “允许其他流量” 的自定义规则,此时添加 “拒绝特定 ICMP 流量” 的规则就有意义:
例如:若已添加 “允许 192.168.1.0/24 子网的 TCP 80 端口流量” 的规则(优先级高于默认规则),则该子网的 TCP 80 流量会被允许,但其他流量(包括 ICMP)仍被默认规则拒绝。
但若后续又添加了 “允许 192.168.1.0/24 子网所有协议流量” 的规则(优先级较高),此时 ICMP 流量会被该允许规则放行,此时就需要单独添加 “拒绝 ICMP(源 192.168.1.0/24)” 的规则(优先级需高于允许规则),才能实现 “允许该子网其他流量,但拒绝其 ICMP 流量”。
步骤设计的可能目的:教学场景下的规则逻辑演示
从实操教学的角度,该步骤可能是为了演示 “如何添加自定义拒绝规则”,而非实际场景必需。
即使默认规则已拒绝 ICMP,通过手动添加拒绝规则,可帮助理解 “规则优先级”“自定义规则与默认规则的关系” 等核心逻辑(例如:自定义规则优先级高于默认规则,若添加允许规则后,需用自定义拒绝规则覆盖特定流量)。
总结:在 “无任何允许规则” 的场景下,您说的 “添加拒绝 ICMP 规则无意义” 是对的
综合考虑整体需求与产品规划,很抱歉暂不修改,诉求未能采纳,还请您谅解。
对您造成困扰深表歉意!希望以上可以解决您的疑虑,感谢您的反馈,若在使用还有其它建议,可在云声平台继续反馈,我们收到后会尽快处理。感谢您对华为云的支持!
good, any update ?
非常感谢您的反馈,您的建议和诉求已经收到,并已提交至相关产品团队进行核查评估,评估完成后对于建议是否采纳会尽快给您答复,也请您持续关注云声平台,了解反馈建议处理进展,感谢您对华为云的支持!