ACL是一种基于包过滤的安全控制技术。通过ACL可以控制虚拟机之间的网络访问能力,进而保障部署在虚拟机上的业务资源的安全性。
ACL策略主要包括如下两部分:
默认动作:包括入方向默认动作和出方向默认动作。当虚拟交换机入方向或出方向的报文未匹配上ACL规则时,系统采用入方向默认动作或出方向默认动作对报文进行处理。
ACL规则:用于匹配报文的规则,包括IPv4和二层两种类型。一个ACL策略可配置多条ACL规则,并设置规则的生效时间段和匹配优先级。
ACL类型为IPv4的规则:根据源IP地址、目的IP地址、IP承载的协议类型等三、四层信息进行过滤。
ACL类型为二层的规则:根据源MAC地址、目的MAC地址等链路层协议信息进行过滤。
通过如下操作可将ACL策略应用到虚拟机:在网络策略模板中引用ACL策略,并在虚拟机的网络参数中配置该网络策略模板。
如果ACL策略正在被网络策略模板引用,则不允许删除。
选择顶部“管理”页签,单击左侧导航树[安全管理/ACL策略]菜单项,进入ACL策略列表页面。
单击<增加>按钮,弹出增加ACL策略对话框。
设置策略名称、描述、入方向默认动作、出方向默认动作、ACL类型、启用时间段。各参数的详细介绍,请参见参数说明。
单击<增加规则>按钮,弹出增加规则对话框。
设置规则相关参数。关于参数的详细介绍,请参见参数说明。
单击<修改优先级>按钮,弹出修改优先级对话框。
通过拖动行的方式改变多条规则间的优先级,单击<确定>按钮,返回增加ACL策略对话框。
单击<确定>按钮完成操作。
选择顶部“管理”页签,单击左侧导航树[安全管理/ACL策略]菜单项,进入ACL策略列表页面。
选中待修改的ACL策略,单击<修改>按钮,弹出修改ACL策略对话框。
修改ACL策略相关参数和规则,并修改策略中各规则间的优先级。关于参数的详细介绍,请参见参数说明。
单击<确定>按钮完成操作。
选择顶部“管理”页签,单击左侧导航树[安全管理/ACL策略]菜单项,进入ACL策略列表页面。
选中待删除的ACL策略,单击<删除>按钮,弹出操作确认对话框。
单击<确定>按钮完成操作。
入方向默认动作:若虚拟交换机入方向的报文未匹配上ACL策略中的规则,则使用入方向默认动作对报文进行处理,包括允许、拒绝,默认为允许。
出方向默认动作:若虚拟交换机出方向的报文未匹配上ACL策略中的规则,则使用出方向默认动作对报文进行处理,包括允许、拒绝,默认为允许。
ACL类型:创建的ACL规则类型,包括IP和二层。
IP:表示报文根据ACL规则的源IP地址、目的IP地址、IP承载的协议类型等三、四层信息进行过滤。
二层:表示报文根据ACL规则的源MAC地址、目的MAC地址等链路层协议信息进行过滤。
启用时间段:设置ACL策略中的规则在每天指定时间段内生效。未开启“启用时间段”,则ACL规则将不受时间段限制一直生效。
生效时间:ACL策略中规则生效的时间段。开启“启用时间段”时需要配置此参数。
方向:匹配ACL规则的报文的方向,包括入方向,出方向,入方向和出方向,默认为入方向。
动作:对匹配ACL规则的报文的处理的动作,包括允许、拒绝,默认为允许。
当ACL类型为IP时,需配置如下参数:
协议:匹配ACL规则的报文的协议类型,包括ALL、ICMP、TCP和UDP。
IP类型:匹配ACL规则的报文IP类型,包括IPv4和IPv6。IPv6选项在软件试用版期间和使用UIS标准版增强包License注册后才可见。如果使用UIS标准版License进行软件注册,将不能使用虚拟机IPv6地址管理功能。
源IP地址:匹配ACL规则的报文的源IP地址。
源子网掩码:匹配ACL规则的报文的源子网掩码/源网络前缀。
源起始端口/源结束端口:匹配ACL规则的报文的源端口的范围。
目的IP地址:匹配ACL规则的报文的目的IP地址。
目的子网掩码:匹配ACL规则的报文的目的子网掩码/目的网络前缀。
目的起始端口/目的结束端口:匹配ACL规则的报文的目的端口的范围。
当ACL类型为二层时,需配置如下参数:
协议:匹配ACL规则的报文的协议类型,包括ALL、ARP、RARP、IPv4和IPv6。IPv6选项在软件试用版期间和使用UIS标准版增强包License注册后才可见。如果使用UIS标准版License进行软件注册,将不能使用虚拟机IPv6地址管理功能。
源MAC地址:匹配ACL规则的报文的源MAC地址。
源MAC掩码:匹配ACL规则的报文的源MAC掩码。MAC掩码与MAC地址格式一致,均为48位。通过MAC掩码,可以实现一条ACL规则匹配多个MAC地址。
目的MAC地址:匹配ACL规则的报文的目的MAC地址。