# 网络ACL简介

网络ACL是子网级别的安全策略，用于控制进出子网的数据流。用户可以通过设置出站规则和入站规则，对进出子网的流量进行精确控制。

网络ACL是无状态的，例如用户如果需要允许某些访问，则需要**同时添加相应的入站规则和出站规则**。若只添加入站规则，未添加出站规则，则会导致访问异常。

> ACL规则对快杰云主机、物理云主机、ULB、VIP及基于VIP架构实现的实例不生效。具体以控制台为准。

## 关联子网

创建网络ACL后，用户可将该ACL与所属VPC下的任意子网进行绑定和解绑。绑定子网前，请确保ACL中的规则正确，以免影响关联子网中云资源的正常通信。

## 出站／入站规则

网络ACL 规则分为出站规则和入站规则。用户对网络ACL规则的更新，会自动应用到与其相关联的子网。

允许添加的出站／入站规则数量上限各为50条。

网络 ACL 规则包括以下组成部分：

  - 策略：允许或拒绝。
  - 来源IP／目标IP：出站／入站规则针对的网段。
  - 协议类型：支持TCP、UDP、ICMP和GRE协议类型，可选择ALL来指定所有协议类型。
  - 目标端口：TCP和UDP协议类型允许填写的端口范围为1-65535。其他协议类型无需指定端口。
  - 优先级：规则对应的优先级，**数字越小，优先级越高**。可填写范围为1-30000。同一优先级的出站／入站规则只能创建一条。
  - 应用目标：ACL规则的生效范围。支持子网内全部资源、子网内指定资源。"子网内全部资源"即该规则对绑定该ACL的子网内所有资源均生效（快杰云主机、物理云主机和ULB除外）；"子网内指定资源"即该规则仅对选中的资源生效（不支持指定高可用版UDB），不对子网内未选中的资源生效。

**注意：** 创建网络ACL后，系统会自动添加一条默认出站规则和一条默认入站规则。

    默认出站规则即为全部协议、全部端口流量的出站允许。

<!-- image-todo -->

    默认入站规则即为全部协议、全部端口流量的入站允许。

<!-- image-todo --> 默认规则不允许编辑和删除，创建ACL时就存在。

默认规则优先级最低，可通过添加优先级更高的规则来覆盖默认规则。

## 产品配额

每个网络ACL配额如下（不包含默认规则）

| 名称     | 配额 |
| ------ | -- |
| 出站规则数量 | 100 |
| 入站规则数量 | 100 |