ACL(Access Control List,访问控制列表)是一条或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源IP地址、目的IP地址、端口号等。网络设备依据规则识别出特定的报文,并根据预先设定的策略对流量进行处理。
ACL是一种基于包过滤的安全控制技术。通过ACL可以控制虚拟机之间的网络访问能力,进而保障部署在虚拟机上的业务资源的安全性。
ACL策略管理提供了查看、增加、删除和修改ACL策略及其规则的功能。
如果ACL策略正在被网络策略模板引用时,则不允许删除。
单击导航树中[云安全/ACL策略]菜单项,进入ACL策略列表页面。
单击<增加>按钮,弹出增加ACL策略对话框。
设置策略名称、描述、入方向默认动作、出方向默认动作、ACL类型、所有者、启用时间段。各参数的详细介绍,请参见参数说明。
单击<增加规则>按钮,弹出增加规则对话框。
设置规则相关参数。关于参数的详细介绍,请参见参数说明。
单击<修改优先级>按钮,弹出修改优先级对话框。
通过拖动行的方式改变多条规则间的优先级,单击<确定>按钮,返回增加ACL策略对话框。
单击<确定>按钮。
单击导航树中[云安全/ACL策略]菜单项,进入ACL策略列表页面。
选中待修改的ACL策略,单击<修改>按钮,弹出修改ACL策略对话框。
修改ACL策略相关参数并修改策略中各规则间的优先级。关于参数的详细介绍,请参见参数说明。
单击<确定>按钮。
单击导航树中[云安全/ACL策略]菜单项,进入ACL策略列表页面。
选中待切换的ACL策略,单击<切换为公共策略>按钮,弹出操作确认对话框。
单击<确定>按钮,将策略切换为公共策略。
单击导航树中[云安全/ACL策略]菜单项,进入ACL策略列表页面。
选中待复制的ACL策略,单击<复制>按钮,弹出复制ACL策略对话框。
填写或修改相关参数,单击<确定>按钮。
单击导航树中[云安全/ACL策略]菜单项,进入ACL策略列表页面。
选中待删除的ACL策略,单击<删除>按钮,弹出操作确认对话框。
单击<确定>按钮。
单击导航树中中[云安全/ACL策略]菜单项,进入ACL策略列表页面。
在“所有者”处,通过选择“全部”,“公共”,或“私有”,根据策略所有者过滤并查看系统中的所有ACL策略。
单击导航树中[云安全/ACL策略]菜单项,进入ACL策略列表页面。
选中待查看的ACL策略,单击<查看>按钮,弹出查看ACL策略对话框。
入方向默认动作:若虚拟交换机入方向的报文未匹配上ACL策略中的规则,则使用入方向默认动作对报文进行处理,包括允许、拒绝,默认为允许。
出方向默认动作:若虚拟交换机出方向的报文未匹配上ACL策略中的规则,则使用出方向默认动作对报文进行处理,包括允许、拒绝,默认为允许。
ACL类型:创建的ACL规则类型,包括IP、二层。
IP:表示报文根据ACL规则的源IP地址、目的IP地址、IP承载的协议类型等三、四层信息进行过滤。
二层:表示报文根据ACL规则的源MAC地址、目的MAC地址等链路层协议信息进行过滤。
所有者:选择ACL策略的所有者,公共策略指系统中所有用户都可查看并使用的策略,私有策略只有创建者所属用户组的用户才可以查看并使用。
启用时间段:设置ACL策略中的规则在每天指定时间段内生效。未开启“启用时间段”,则ACL规则将不受时间段限制一直生效。
方向:匹配ACL规则的报文的方向,包括入方向,出方向,入方向和出方向,默认为入方向。
动作:对匹配ACL规则的报文的处理的动作,包括允许、拒绝,默认为允许。
当ACL类型为IPv4时,需配置如下参数:
协议: 匹配ACL规则的报文的协议类型,包括ALL、ICMP、TCP和UDP。
IP类型:选择IP地址类型,包括IPv4和IPv6。
源IP地址:匹配ACL规则的报文的源IP地址。
源子网掩码:匹配ACL规则的报文的源子网掩码。
源网络前缀:匹配ACL规则的报文的源网络前缀。
源端口:匹配ACL规则的报文的源端口。
目的IP地址:匹配ACL规则的报文的目的IP地址。
目的子网掩码:匹配ACL规则的报文的目的子网掩码。
目的网络前缀:匹配ACL规则的报文的目的网络前缀。
目的端口:匹配ACL规则的报文的目的端口。
当ACL类型为二层时,需配置如下参数:
协议:匹配ACL规则的报文的协议类型,包括ALL、ARP、RARP、IPv4和IPv6。
源MAC地址:匹配ACL规则的报文的源MAC地址。
源MAC掩码:匹配ACL规则的报文的源MAC掩码。MAC掩码与MAC地址格式一致,均为48位。通过MAC掩码,可以实现一条ACL规则匹配多个MAC地址。
目的MAC地址:匹配ACL规则的报文的目的MAC地址。