tencent cloud

Virtual Private Cloud

Notas de versão e anúncios
Notas de versão
Announcements
Introdução do produto
Visão geral
Vantagens
Casos de uso
Conceitos
Limite de cota
Início rápido
Planejamento de rede
Conexões do VPC
Criação de uma VPC IPv4
Guia de operação
Topologia de rede
Virtual Private Cloud (VPC)
Sub-redes
Tabelas de rotas
IP elástico
HAVIPs
Pacote de largura de banda
Conexão de rede
Gerenciamento de segurança
Ferramentas de diagnóstico
Monitoramento e alarmes
Tutoriais Práticas
Migração da rede clássica para o VPC
Configuração de um CVM de gateway público
Criação de cluster principal/secundário de alta disponibilidade usando HAVIP + Keepalived
Comunicação principal/secundária de nuvem híbrida (DC e VPN)
Comunicação principal/secundária de nuvem híbrida (CCN e VPN)
Perguntas frequentes
Geral
Conexão
Segurança
Fale conosco
Glossário
DocumentaçãoVirtual Private CloudGuia de operaçãoGerenciamento de segurançaACL de redeVisão geral das regras

Visão geral das regras

PDF
Modo Foco
Tamanho da Fonte
Última atualização: 2024-01-24 17:55:51
A lista de controle de acesso (ACL) de rede é uma camada opcional de segurança que limita o tráfego de e para as sub-redes com precisão de protocolo e porta.

Visão geral

Você pode associar uma ACL de rede a várias sub-redes para manter o tráfego e controlar com precisão sua entrada e saída, definindo regras de entrada e saída. Por exemplo, quando você hospeda um aplicativo da web com várias camadas em uma instância da VPC da Tencent Cloud e cria sub-redes diferentes para serviços de camada da web, camada lógica e camada de dados, é possível usar uma ACL de rede para garantir que as sub-redes da camada da web e da camada de dados não podem acessar umas às outras, mas apenas a sub-rede da camada lógica pode acessar as sub-redes da camada da web e da camada de dados.



Regras de ACL

Quando uma regra de ACL de rede for adicionada ou excluída, a alteração será aplicada automaticamente às sub-redes associadas. Você pode configurar regras de ACL de rede de entrada e de saída. Cada regra consiste em:
IP de origem/IP de destino: insira o IP de origem para uma regra de entrada ou o IP de destino para uma regra de saída. Formatos aceitos:
IP único: como “192.168.0.1” ou “FF05::B5”
Bloco CIDR: como “192.168.1.0/24” ou “FF05:B5::/60”
Todos os endereços IPv4: “0.0.0.0/0”
Protocol type (Tipo de protocolo): indica os tipos de protocolo que uma regra de ACL permite ou nega, por exemplo, TCP e UDP.
Port (Porta): indica a porta de origem ou destino do tráfego. Formatos aceitos:
Porta única: como “22” ou “80”
Intervalo de portas: como “1-65535” ou “100-20000”
Todas as portas: todas
Policy (Política): indica se deve permitir ou negar a solicitação de acesso.

Regras padrão

Depois de criada, cada ACL de rede tem duas regras padrão que não podem ser modificadas ou excluídas, com a prioridade mais baixa.
Regra de entrada padrão
Tipo de protocolo
Porta
IP de origem
Política
Descrição
Todas
Todas
0.0.0.0/0
Negar
Nega todo o tráfego de entrada.
Regra de saída padrão
Tipo de protocolo
Porta
IP de destino
Política
Descrição
Todas
Todas
0.0.0.0/0
Negar
Nega todo o tráfego de saída.

Prioridades das regras

As regras de uma ACL de rede são priorizadas de cima para baixo. A regra no topo da lista tem a prioridade mais alta e entrará em vigor primeiro, já a regra na parte inferior tem a prioridade mais baixa e entrará em vigor por último.
Se houver um conflito de regras, a regra com a prioridade mais alta prevalecerá por padrão.
Quando o tráfego entrar ou sair de uma sub-rede vinculada a uma ACL de rede, as regras de ACL de rede serão correspondidas sequencialmente de cima para baixo. Se uma regra for correspondida com êxito e entrar em vigor, as regras posteriores não serão correspondidas.

Exemplo de aplicação

Para permitir que todos os endereços IP de origem acessem todas as portas de CVMs em uma sub-rede associada a uma ACL de rede, e negar que o endereço IP de origem HTTP de 192.168.200.11/24 acesse a porta 80, adicione as seguintes duas regras de ACL de rede para tráfego de entrada:
Tipo de protocolo
Porta
IP de origem
Política
Descrição
HTTP
80
192.168.200.11/24
Negar
Nega que este endereço IP de serviços HTTP acesse a porta 80.
Todos
Todas
0.0.0.0/0
Permitir
Permite que todos os endereços IP de origem acessem todas as portas.

Grupos de segurança vs. ACLs de rede

Item
Grupo de segurança
ACL de rede
Limitação de tráfego
Limitação de tráfego no nível de instâncias, como CVM e banco de dados
Limitação de tráfego no nível de sub-redes
Regra
Regras permitir e negar
Regras permitir e negar
Com estado e sem estado
Com estado: o tráfego retornado é permitido automaticamente, sem estar sujeito a nenhuma regra.
Sem estado: o tráfego retornado deve ser explicitamente permitido pelas regras.
Tempo efetivo
As regras são aplicadas a uma instância, como da CVM ou TencentDB, apenas se você especificar um grupo de segurança ao criar a instância ou associar um grupo de segurança à instância após sua criação.
As regras de ACL são aplicadas automaticamente a todas as instâncias, como instâncias da CVM e do TencentDB na sub-rede associada.
Prioridade da regra
Se houver um conflito de regras, a regra com a prioridade mais alta prevalecerá por padrão.
Se houver um conflito de regras, a regra com a prioridade mais alta prevalecerá por padrão.

Anterior: Portas comuns do servidorPróximo: Limites

Ajuda e Suporte

Esta página foi útil?

comentários