华为云VPC网络ACL深度解析：从原理到实战的全面安全防护指南

1. 网络ACL：VPC安全体系的子网防线

在华为云虚拟私有云（VPC）的安全架构中，网络ACL（Access Control List）扮演着子网级别安全防护层的角色。与安全组对实例进行防护不同，网络ACL的防护范围覆盖整个子网——当子网关联至网络ACL后，子网内的所有弹性云服务器、数据库、云容器等实例都会受到网络ACL规则的统一保护。这种批量防护能力使得网络ACL成为VPC安全体系中不可或缺的组成部分。

需要先登录华为云控制台，点击：华为云控制台，还没有账号，点击：注册并关联，已有账号点击：登录后关联

网络ACL的核心价值在于其作为"子网边界防火墙"的定位。通过在网络ACL中设置入方向和出方向规则，可以精准控制流入和流出子网的流量。入方向规则控制外部请求访问子网内实例的流量，出方向规则控制子网内实例访问外部的请求。当网络ACL与安全组同时存在时，流量会先匹配网络ACL规则，再匹配安全组规则。这种双层防护机制为VPC内的工作负载提供了更加坚实的安全保障。

从使用成本来看，网络ACL与安全组一样，均为免费服务，不收取任何费用。这使得用户可以在不增加额外成本的前提下，为VPC增加一层子网级别的安全防护。网络ACL是非必选的安全组件，用户可以根据业务需求灵活决定是否为子网关联网络ACL。这种可选性既保证了基础使用的简洁性，又为有高安全要求的场景提供了扩展能力。

2. 网络ACL与安全组、云防火墙：三者的定位与协同

理解网络ACL在VPC安全体系中的定位，需要从安全组、网络ACL、云防火墙三者之间的差异入手。这三者共同构成了华为云VPC的访问控制体系，但在防护范围、规则粒度、使用方式等方面各有侧重。

防护范围是三者最核心的区别维度。安全组工作在实例级别，防护安全组内的弹性云服务器、数据库、云容器等实例。网络ACL工作在子网级别，防护整个子网及子网内的所有实例。云防火墙则提供VPC边界网络防护，支持不同VPC之间、VPC和公网之间、VPC与云下IDC之间的流量防护。从防护范围来看，安全组最小（实例级），网络ACL居中（子网级），云防火墙最大（VPC边界级）。

规则报文组的差异体现在过滤粒度上。安全组支持报文三元组过滤，即协议、端口和源/目的地址。网络ACL支持报文五元组过滤，包括协议、源端口、目的端口、源地址和目的地址。云防火墙在此基础上进一步扩展，支持域名、IP地理位置、七层应用协议等更丰富的过滤条件。五元组过滤使得网络ACL能够实现比安全组更精细的流量控制。

规则生效顺序方面，三者各有特点。当一个实例绑定多个安全组时，多个安全组的规则取其并集生效。网络ACL一个子网只能绑定一个，当存在多条规则时，根据规则的优先级依次匹配流量，优先级数字越小排序越靠前，越先生效。云防火墙同样按照优先级数字从小到大生效。网络ACL明确的优先级顺序为管理员提供了精确控制流量匹配行为的能力。

有状态特性是三者共有的重要属性。安全组、网络ACL和云防火墙都是有状态的。有状态意味着允许入站请求的响应流量可以自动出入实例或子网，不受规则限制。以网络ACL为例，如果入方向规则允许了某个请求进入子网，那么该请求的响应流量在出方向会被自动放行，无需额外配置出方向允许规则。这一特性简化了规则配置的复杂度，但也要求管理员在理解有状态特性的基础上合理设计规则。

在实际使用中，安全组是必选的——每个实例必须至少加入到一个安全组中。网络ACL和云防火墙都是可选的，用户可以根据业务需求按需启用。三者可以协同工作，构建从实例到子网、从子网到VPC边界的纵深防御体系。

3. 网络ACL的核心概念与工作原理

3.1 网络ACL的组成要素

一个完整的网络ACL由以下核心要素构成：

入方向规则和出方向规则：网络ACL中同时包含入方向规则和出方向规则，分别控制流入和流出子网的流量。入方向规则决定哪些外部流量可以进入子网，出方向规则决定子网内实例可以访问哪些外部目标。两者独立配置，互不影响。

规则参数：每条网络ACL规则由多个参数共同定义。类型参数指定规则适用的IP地址版本，支持IPv4和IPv6。策略参数决定匹配流量后的动作，支持允许（Allow）和拒绝（Deny）两种策略。协议参数匹配流量的网络协议类型，支持TCP、UDP、ICMP三种协议。源地址/目的地址匹配流量的来源或目标，支持单个IP地址、IP网段、IP地址组以及默认IP地址（0.0.0.0/0或::/0）。源端口范围/目的端口范围匹配流量的源端口或目的端口，取值范围为1～65535。

默认规则：每个网络ACL创建完成后，自带入方向和出方向的默认规则。默认规则的策略为拒绝，即拒绝所有出入子网的流量。默认规则不支持删除和修改。这意味着在网络ACL关联子网后，如果没有任何自定义规则放通流量，所有出入子网的流量都会被拒绝。

3.2 规则的匹配与生效机制

网络ACL规则的匹配遵循明确的优先级顺序。当网络ACL中存在多条自定义规则时，系统按照规则的优先级依次匹配流量。优先级的数值越小，表示优先级越高，流量优先匹配该规则。当多条规则冲突时，优先级高的规则生效，优先级低的不生效。

规则的添加方式影响优先级的分配。使用默认生效顺序添加规则时，系统按照规则添加的先后顺序生成优先级，先添加的规则排序靠前。使用自定义生效顺序添加规则时，可以在指定规则的前面或后面插入新规则，精确控制规则的生效顺序。例如，网络ACL入方向中已有规则A（优先级1）和规则B（优先级2），如果新增规则C需要优先于规则B生效，则可以在规则B前面插入规则C，插入后规则C的优先级为2，规则B的优先级顺延为3。

网络ACL使用连接跟踪机制来标识进出实例的流量信息。这一机制对规则变更后的流量行为有重要影响。当在网络ACL中增加、删除或更新规则时，已建立的长连接不会立即断开，依旧遵循原有的网络ACL规则。只有新建立的连接才会匹配新的网络ACL规则。不同协议的连接跟踪老化时间不同：已建立连接状态的TCP协议连接老化时间是600秒，ICMP协议老化时间是30秒。TCP连接处于ESTABLISHED状态时老化时间为600秒，处于FIN-WAIT状态时老化时间为30秒。理解这一机制对于处理长连接场景下的规则变更至关重要。

4. 网络ACL的完整配置流程

4.1 创建网络ACL

创建网络ACL是配置的第一步。登录华为云管理控制台后，在左上角选择区域和项目。点击页面左上角的图标打开服务列表，选择"网络 > 虚拟私有云"，进入虚拟私有云列表页面。在左侧导航栏中选择"访问控制 > 网络ACL"，进入网络ACL列表页面。在网络ACL列表的右上角点击"创建网络ACL"，根据界面提示填写名称、描述等基本信息即可完成创建。创建完成后，网络ACL自带入方向和出方向的默认规则，默认拒绝所有流量。

4.2 添加网络ACL规则

在网络ACL列表页面，点击目标网络ACL的名称进入详情页。根据需求选择"入方向规则"或"出方向规则"页签，点击"添加规则"。在添加规则界面，需要配置以下关键参数：

• 类型：选择IPv4或IPv6
• 策略：选择允许或拒绝
• 协议：选择TCP、UDP或ICMP
• 源地址：填写IP地址、IP网段、IP地址组或默认IP（0.0.0.0/0）
• 源端口范围：填写端口号、端口范围或多个端口（如22,24-30）
• 目的地址：填写IP地址、IP网段、IP地址组或默认IP
• 目的端口范围：填写端口号、端口范围或多个端口

添加规则时可以选择默认生效顺序或自定义生效顺序。使用默认生效顺序时，系统按添加先后生成优先级。使用自定义生效顺序时，可以在已有规则的前面或后面插入新规则。点击"确定"完成规则添加。

4.3 关联子网

网络ACL创建并配置规则后，需要关联至目标子网才能生效。在子网列表中，找到目标子网，点击对应的"网络ACL"列下的"去关联"。在弹出的对话框中选择已创建的网络ACL，确认关联即可。关联后，网络ACL的状态需要为"已开启"才会对子网生效。一个网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。

4.4 管理网络ACL与规则

华为云提供了丰富的网络ACL管理功能。可以查看网络ACL的详细信息、修改名称和描述、开启或关闭网络ACL。对于规则，可以启用或禁用单条规则、修改规则参数、在指定位置插入新规则、删除规则、以及批量导出或导入规则。网络ACL默认规则不支持任何修改和删除操作。

5. 典型应用场景与配置示例

5.1 场景一：拒绝外部访问子网内实例的指定端口

在安全运维中，经常需要封堵特定端口以防范漏洞攻击。例如，勒索病毒Wanna Cry利用TCP 445端口传播，需要隔离该端口的访问。配置思路是：在网络ACL中添加一条拒绝规则，拒绝所有外部IP访问子网内实例的TCP 445端口；同时添加一条允许规则，放通其他正常的入方向流量。

具体配置如下：先添加自定义规则02（允许规则），放通入方向流量。再添加自定义规则01（拒绝规则），拒绝所有外部请求访问子网内实例的TCP 445端口。关键点在于拒绝规则必须早于允许规则生效，因此需要将拒绝规则插入到允许规则的前面。如果子网网段为10.0.0.0/24，则目的地址填写10.0.0.0/24，目的端口填写445。

5.2 场景二：拒绝外部指定IP地址访问子网内实例

当检测到异常IP地址对子网内实例发起攻击时，需要快速拦截该IP的所有访问。配置思路与场景一类似：先添加允许规则放通正常流量，再添加拒绝规则拦截异常IP，并将拒绝规则置于允许规则之前。

例如，需要拒绝来自IP地址10.1.1.12/32的流量流入子网10.5.0.0/24。配置拒绝规则时，源地址填写10.1.1.12/32，目的地址填写10.5.0.0/24。策略选择拒绝。该规则需要插入到允许规则之前生效。

5.3 场景三：允许外网访问子网内实例的指定端口

当子网内的实例作为Web服务器对外提供服务时，需要放通HTTP（80）和HTTPS（443）端口的入方向流量。此时需要同时在网络ACL和安全组中添加对应的规则。在网络ACL中添加允许规则：策略为允许，协议为TCP，目的端口分别为80和443，源地址为0.0.0.0/0（允许所有外网IP访问）。在安全组中也需添加相应的入方向规则。由于网络ACL规则优先于安全组规则匹配，即使安全组允许了某端口访问，如果网络ACL拒绝了该端口，流量依然会被拒绝。

5.4 场景四：精细化控制子网间的流量

在多子网架构中（如Web层、应用层、数据层分别部署在不同子网），需要通过网络ACL精细化控制子网间的流量。例如，只允许Web层子网访问应用层子网的特定端口（如TCP 8080），同时拒绝数据层子网直接访问Web层子网。通过在各个子网关联的网络ACL中配置精确的五元组规则，可以实现子网级别的流量隔离。这种场景下，网络ACL的子网级别防护能力得到充分发挥——一条规则可以保护整个子网内的所有实例。

5.5 场景五：网络ACL与安全组协同构建纵深防御

最佳实践中，网络ACL与安全组通常协同工作。安全组作为第一道防线，在实例级别实施精细化的访问控制。网络ACL作为第二道防线，在子网级别提供额外的安全层，用于实施更广泛的流量过滤策略。例如，安全组允许某端口访问，但网络ACL拒绝了该子网的此端口流量，则流量最终会被拒绝。这种双层防护机制有效降低了单点配置失误带来的安全风险。

6. 网络ACL的API调用与自动化运维

对于需要大规模管理网络ACL的场景，华为云提供了完整的API接口支持。通过API可以实现网络ACL的创建、查询、更新、删除，以及规则的增删改查等操作。

创建网络ACL的API调用示例如下：

POST https://{Endpoint}/v3/{project_id}/vpc/firewalls

更新网络ACL规则的API调用示例如下：

PUT https://{Endpoint}/v3/{project_id}/vpc/firewalls/{firewall_id}/update-rules

{
  "firewall": {
    "ingress_rules": [
      {
        "id": "e9a7731d-5bd9-4250-a524-b9a076fd5629",
        "name": "network_acl_rule_test",
        "action": "allow",
        "protocol": "tcp",
        "ip_version": "4",
        "source_ip_address": "192.168.3.0/24",
        "destination_ip_address": "192.168.6.0/24",
        "source_port": "30-40,60-90",
        "destination_port": "40-60,70-90"
      }
    ]
  }
}

以上示例展示了如何更新指定网络ACL的入方向规则。参数说明如下：action指定策略（allow或deny），protocol指定协议类型，source_ip_address和destination_ip_address分别指定源地址和目的地址。source_port和destination_port支持单个端口、连续端口范围（如30-40）以及多个不连续端口组（如30-40,60-90）。

查询网络ACL详情的API调用示例如下：

GET https://{Endpoint}/v3/{project_id}/vpc/firewalls/{firewall_id}

通过API与自动化运维工具（如Terraform、Ansible）结合，可以实现网络ACL策略的代码化管理、批量部署和版本控制，大幅提升运维效率。

7. 网络ACL与其他安全服务的联动

网络ACL并非孤立的安全组件，而是华为云完整安全体系中的一个环节。在实际部署中，网络ACL通常与以下安全服务协同工作：

云防火墙（CFW）：云防火墙提供VPC边界网络防护，支持不同VPC之间、VPC和公网之间、VPC与云下IDC之间的流量防护。当网络ACL无法满足跨VPC或混合云场景的防护需求时，云防火墙是必要的补充。云防火墙提供访问控制、攻击防御、流量分析以及日志审计等功能。

DDoS防护：对于暴露在公网的业务，DDoS高防可以提供大流量攻击的防护能力。网络ACL可以在子网层面过滤已知的恶意IP，而DDoS高防则在网络边界抵御大规模流量攻击。

Web应用防火墙（WAF）：WAF专注于Web应用的七层防护，可以防御SQL注入、XSS等应用层攻击。网络ACL提供四层（网络层）的访问控制，WAF提供七层（应用层）的深度检测，两者形成互补。

在实际架构中，推荐采用分层防御的策略：互联网边界部署DDoS高防和云防火墙，子网边界部署网络ACL，实例边界部署安全组，应用层部署WAF。每一层各司其职，共同构建全方位的安全防护体系。

8. 网络ACL使用中的常见问题与注意事项

默认规则陷阱：网络ACL创建后默认拒绝所有流量。关联子网后如果没有添加任何允许规则，所有出入子网的流量都会被拒绝。这是初次使用网络ACL时最容易忽视的问题，务必在关联子网前先配置好必要的允许规则。

规则优先级与顺序：网络ACL规则的优先级数字越小越先生效。当存在冲突规则时，优先级高的规则生效。在配置拒绝特定IP或端口的规则时，必须确保拒绝规则的优先级高于允许规则。

有状态特性的影响：网络ACL是有状态的，响应流量会自动放行。但这也意味着入方向和出方向规则需要分别配置——如果只配置了入方向允许规则而没有配置出方向规则，子网内实例发起的出方向请求可能会被拒绝。对于长连接应用，需要配置双向放通规则，否则规则变更或实例迁移可能导致长连接中断。

连接跟踪与规则变更：网络ACL规则变更后，已建立的长连接不会立即受影响。如果需要立即生效，需要手动清理连接跟踪。不同协议和状态的连接老化时间不同，设计规则变更方案时需要考虑这一因素。

地址组的使用：对于安全策略相同的多个IP地址或网段，建议使用IP地址组进行统一管理。但需要注意，在同一条网络ACL规则中，源地址和目的地址只能有一方使用IP地址组。

9. 总结

华为云VPC网络ACL作为子网级别的安全防护层，与安全组、云防火墙共同构成了完整的VPC访问控制体系。网络ACL支持五元组规则的精确匹配，具有明确的优先级顺序和有状态特性，能够为子网内的所有实例提供统一的流量管控。在实际应用中，网络ACL适用于子网边界的粗粒度访问控制，如隔离不同业务区域的子网、设置整个子网统一的出口/入口过滤策略等。安全组则更适合实例边界的细粒度访问控制。两者协同工作，可以构建从子网到实例的纵深防御体系。

理解和掌握网络ACL的工作原理、配置方法以及与周边安全服务的协同关系，是保障华为云VPC环境安全运行的关键能力。从默认规则的认识到优先级的设计，从连接跟踪的理解到与其他安全服务的联动，每一个环节都影响着最终的安全效果。希望本文能帮助读者全面掌握华为云VPC网络ACL的技术细节与实战方法，为云上业务构建坚实的安全防线。