Network ACL
Tổng quan
Network ACL là tính năng giúp bạn kiểm soát lưu lượng truy cập mạng đến và đi (lưu lượng truy cập (traffic) in/ out) từ các subnet trong VPC của bạn. Đơn giản hơn, Network ACL chính là tầng security của subnet, nó sẽ được gắn vào subnet, mọi lưu lượng truy cập (traffic) đi vào hay ra subnet đều phải qua sự kiểm duyệt của Network ACL. Cụ thể:
Khi lưu lượng truy cập (traffic) đi từ internet vào vServer instance, nó phải đi qua Network ACL trước rồi mới đến Security Group.
Khi lưu lượng truy cập (traffic) đi từ vServer instance, nó phải đi qua Security Group trước rồi mới đến Network ACL.
Kiến thức cơ bản về Network ACL:
Mỗi VPC sau khi tạo mới sẽ không có sẵn Network ACL nào.
Bạn có thể tạo một Network ACL mới và gắn nó với một hoặc nhiều subnet trong VPC của bạn. Chúng tôi cung cấp cho bạn các inbound rule có sẵn, bạn có thể thêm các rule mong muốn theo hướng dẫn bên dưới.
Một Network ACL có thể được gắn với nhiều subnet, nhưng một subnet chỉ có thể gắn với một Network ACL tại một thời điểm.
Một Network ACL có các rule cho phép (Allow) và từ chối (Deny) lưu lượng. Mỗi rule này được đánh dấu bởi một priority duy nhất.
Khi quyết định cho phép hoặc từ chối lưu lượng, chúng tôi sẽ đánh giá các rule theo thứ tự, bắt đầu từ rule có số thấp nhất.
rule Network ACL chỉ được áp dụng khi lưu lượng đi vào hoặc rời khỏi subnet, không áp dụng cho lưu lượng trong subnet hoặc lưu lượng NAT từ Floating IP.
Có giới hạn về số lượng Network ACL trên mỗi VPC và số lượng rule trên mỗi Network ACL.
Phân biệt giữa Security Group và Network ACL
Tham khảo bảng bên dưới để phân biệt giữa Security Group và Network ACL.
Tính năng
Security Group
Network ACL
Mức hoạt động
Mức instance
Mức subnet
Áp dụng cho
Chỉ áp dụng cho instance được gắn với security group đó.
Áp dụng cho tất cả các instance được triển khai trong subnet được gắn với Network ACL đó.
Rule
Chỉ hỗ trợ rule cho phép (Allow) lưu lượng truy cập (traffic) từ public.
Hỗ trợ cả rule cho phép và từ chối (Allow and Deny) lưu lượng truy cập (traffic) trong internal.
Đánh giá rule
Đánh giá tất cả rule trước khi quyết định cho phép lưu lượng
Đánh giá theo thứ tự, bắt đầu từ rule có số thấp nhất
Trạng thái
Stateful:
Cho phép traffic cụ thể đến instance ở inbound rule thì ở outbound rule cũng được tự động cho phép traffic đi ra khỏi instance, và ngược lại.
Stateless:
Cho phép traffic cụ thể đến subnet ở inbound rule thì ở outbound rule sẽ không được tự động cho phép traffic đi ra khỏi subnet, và ngược lại.
Các phần của một rule Network ACL:
Một Network ACL bao gồm các thành phần cơ bản sau:
Tên Network ACL.
VPC
Inbound rules/ Outbound rules:
Priority: trọng số của rule. Rule được đánh giá theo trọng số này, bắt đầu từ rule có số thấp nhất.
Protocol: giao thức truy cập. ví dụ: TCP, UDP, ICMP,...
Port range: số port hoặc phạm vi port bắt đầu và kết thúc.
Source: IP hoặc dải IP/ CIDR mong muốn cho phép/ từ chối truy cập theo Inbound rules.
Destination: IP hoặc dải IP/ CIDR mong muốn cho phép/ từ chối truy cập theo Outbound rules.
Allow/ Deny: cho phép hoặc từ chối lưu lượng được chỉ định.
Subnet
Mỗi Network ACL đều có một 2 inbound rules (1 rule allow và 1 rule deny) và 2 outbound rules (1 rule allow và 1 rule deny) mặc định. Bạn không thể sửa đổi hoặc xóa rule deny mặc định này.
Inbound rules:
0
Inbound
ANY
0-65535
0.0.0.0/0
Allow
Có thể Xóa/ Chỉnh sửa rule.
2000
Inbound
ANY
0-65535
0.0.0.0/0
Deny
Không cho phép Xóa/ Chỉnh sửa rule.
Outbound rules:
0
Outbound
ANY
0-65535
0.0.0.0/0
Allow
Có thể Xóa/ Chỉnh sửa rule.
2000
Outbound
ANY
0-65535
0.0.0.0/0
Deny
Không cho phép Xóa/ Chỉnh sửa rule.
Làm việc với Network ACLs
Khởi tạo một Network ACL
Bạn có thể tạo một Network ACL tùy chỉnh cho VPC của mình. Mặc định, Network ACL bạn tạo sẽ chặn (Deny) tất cả lưu lượng đến và đi cho đến khi bạn thêm các rule, và nó không được liên kết với subnet nào cho đến khi bạn liên kết nó rõ ràng với một subnet.
Để tạo một Network ACL, hãy làm theo các bước bên dưới:
Truy cập vào trang chủ của dịch vụ vServer tại đường dẫn: https://hcm-3.console.vngcloud.vn/vserver/
Trong menu bên trái, chọn Network, sau đó chọn Network ACLs.
Chọn Create Network ACL.
Nhập Tên gợi nhớ và chọn 1 VPC đang hoạt động mà bạn mong muốn tạo Network ACL. Lưu ý: Tên Network ACL chỉ cho phép các chữ cái (a-z, A-Z, 0-9, '_', '-') và độ dài dữ liệu đầu vào của bạn phải từ 5 đến 50.
Chọn Create.
Lúc này, Network ACL của bạn được tạo với thông tin Inbound rule, Outbound rule mặc định được mô tả ở bảng bên trên. Tiếp tục sử dụng hướng dẫn bên dưới để chỉnh sửa Inbound rule, Outbound rule cũng như liên kết Subnet với Network ACL vừa tạo.
Chỉnh sửa danh sách Inbound rules
Để chỉnh sửa danh sách Inbound rule (các rule cho phép đi vào), hãy làm theo các bước bên dưới:
Truy cập vào trang chủ của dịch vụ vServer tại đường dẫn: https://hcm-3.console.vngcloud.vn/vserver/
Trong menu bên trái, chọn Network, sau đó chọn Network ACLs.
Tại danh sách các Network ACL đã tạo, chọn vào một Network ACL.
Tại mục Inbound rules, chọn Chỉnh sửa Inbound rules.
Chỉnh sửa Priority: nhập trọng số (độ ưu tiên) cho rule. Trọng số của rule không được trùng với số đã có trong Network ACL. Chúng tôi xử lý các rule theo trọng số, bắt đầu từ số thấp nhất tới số cao nhất mà không phân biệt Allow hay Deny. Trọng số tối đa bạn có thể thiết lập là 32766.
Chỉnh sửa Protocol: thêm giao thức truy cập mà bạn mong muốn cho phép/ từ chối đi vào Subnet. Chúng tôi đang cung cấp cho bạn lựa chọn 1 trong 4 phương án: ANY, TCP, UDP, ICMP.
Chỉnh sửa Port range: số port hoặc phạm vi port bắt đầu và kết thúc.
Chỉnh sửa Source: IP hoặc dải IP/ CIDR mong muốn cho phép/ từ chối truy cập theo Inbound rules.
Chỉnh sửa Allow/ Deny: cho phép hoặc từ chối lưu lượng được chỉ định.
Nếu bạn muốn thêm nhiều Inbound rules khác, tiếp tục chọn Thêm rule và thực hiện lặp lại các bước từ số 6, 7, 8, 9,10.
Chọn Lưu để lưu lại các chỉnh sửa đã nhập/ chọn hoặc chọn Hủy bỏ để hủy bỏ thay đổi việc chỉnh sửa.
Chỉnh sửa danh sách Outbound rules
Để chỉnh sửa danh sách Outbound rule (các rule cho phép đi ra), hãy làm theo các bước bên dưới:
Truy cập vào trang chủ của dịch vụ vServer tại đường dẫn: https://hcm-3.console.vngcloud.vn/vserver/
Trong menu bên trái, chọn Network, sau đó chọn Network ACLs.
Tại danh sách các Network ACL đã tạo, chọn vào một Network ACL.
Tại mục Inbound rules, chọn Chỉnh sửa Outbound rules.
Chỉnh sửa Priority: nhập trọng số (độ ưu tiên) cho rule. Trọng số của rule không được trùng với số đã có trong Network ACL. Chúng tôi xử lý các rule theo trọng số, bắt đầu từ số thấp nhất tới số cao nhất mà không phân biệt Allow hay Deny. Trọng số tối đa bạn có thể thiết lập là 32766.
Chỉnh sửa Protocol: thêm giao thức truy cập mà bạn mong muốn cho phép/ từ chối đi ra khỏi Subnet. Chúng tôi đang cung cấp cho bạn lựa chọn 1 trong 4 phương án: ANY, TCP, UDP, ICMP.
Chỉnh sửa Port range: số port hoặc phạm vi port bắt đầu và kết thúc.
Chỉnh sửa Destination: IP hoặc dải IP/ CIDR mong muốn cho phép/ từ chối truy cập theo Outbound rules.
Chỉnh sửa Allow/ Deny: cho phép hoặc từ chối lưu lượng được chỉ định.
Nếu bạn muốn thêm nhiều Outbound rules khác, tiếp tục chọn Thêm rule và thực hiện lặp lại các bước từ số 6, 7, 8, 9,10.
Chọn Lưu để lưu lại các chỉnh sửa đã nhập/ chọn hoặc chọn Hủy bỏ để hủy bỏ thay đổi việc chỉnh sửa.
Liên kết/ Bỏ liên kết Subnet vào Network ACL
Để áp dụng các rule của Network ACL cho một subnet cụ thể, bạn cần liên kết subnet đó với Network ACL. Bạn có thể liên kết một Network ACL với nhiều subnet, nhưng một subnet chỉ có thể liên kết với một Network ACL tại một thời điểm.
Để liên kết một subnet với một Network ACL, hãy làm theo các bước bên dưới:
Truy cập vào trang chủ của dịch vụ vServer tại đường dẫn: https://hcm-3.console.vngcloud.vn/vserver/
Trong menu bên trái, chọn Network, sau đó chọn Network ACLs.
Tại danh sách các Network ACL đã tạo, chọn vào một Network ACL.
Tại mục Subnet association, chọn Chỉnh sửa Subnet Association.
Tại màn hình Chỉnh sửa Subnet Association, bạn có thể liên kết/ bỏ liên kết Subnet vào Network ACL bằng cách:
Tại mục Subnet liên kết, bạn có thể bỏ liên kết một Subnet với Network ACL bằng cách chọn vào Subnet muốn bỏ.
Chọn Lưu để lưu lại các chỉnh sửa đã nhập/ chọn hoặc chọn Hủy bỏ để hủy bỏ thay đổi việc chỉnh sửa.
Chú ý:
Khi bạn liên kết một subnet với một Network ACL mới, các Inbound rules và Outbound rules của Network ACL mới sẽ bắt đầu áp dụng cho lưu lượng đến và đi từ subnet đó.
Bạn có thể liên kết một subnet với một Network ACL khác bất cứ lúc nào. Lúc này, chúng tôi sẽ ngắt liên kết cũ và thực hiện liên kết mới theo chỉnh sửa của bạn đảm bảo tại 1 thời điểm một subnet chỉ có thể gắn với một Network ACL. Việc thay đổi liên kết subnet có thể ảnh hưởng đến lưu lượng đến và đi từ subnet đó.
Xóa một Network ACL
Bạn chỉ có thể xóa Network ACL nếu không có subnet nào được liên kết với nó. Nếu Network ACL bạn muốn xóa vẫn còn Subnet được liên kết, hãy thực hiện theo hướng dẫn bên trên để Bỏ liên kết Subnet vào Network ACL trước khi thực hiện xóa Network ACL đó.
Để xóa một Network ACL, hãy làm theo các bước bên dưới:
Truy cập vào trang chủ của dịch vụ vServer tại đường dẫn: https://hcm-3.console.vngcloud.vn/vserver/
Trong menu bên trái, chọn Network, sau đó chọn Network ACLs.
Tại màn hình xác nhận xóa, chọn Xóa nếu bạn chắc chắn muốn xóa Network ACLs này hoặc Hủy bỏ nếu muốn hủy bỏ việc xóa.
Last updated