場景1：限制不同子網下的云主機間的互通

背景信息

假設某用戶在云上擁有兩個子網，兩個子網同屬于一個VPC，子網1下創建了云主機1（192.168.1.206），子網2下創建了云主機2（192.168.0.229）和云主機3（192.168.0.230）。因業務需要，要求不同云主機間須滿足如下互通關系：

• 禁止云主機1、云主機2、云主機3與互聯網互通。
• 禁止云主機1和云主機3互通。
• 允許云主機1與云主機2互通。

配置方式

以可用區資源池為例，操作步驟如下：

步驟一：創建網絡ACL

1. 登錄控制中心。
2. 在控制中心頁面左上角點擊，選擇區域，本文我們選擇華東-華東1。
3. 依次選擇“網絡”，單擊“虛擬私有云”；進入網絡控制臺頁面。
4. 在左側導航欄，選擇“訪問控制-ACL”選項。
5. 在網絡ACL列表頁面，點擊右上角的“創建網絡ACL”按鈕，進入創建網絡ACL頁面。
6. 在創建網絡ACL頁面，根據以下信息配置網絡ACL，然后單擊確定。

步驟二：配置網絡ACL規則

1. 登錄控制中心。
2. 在控制中心頁面左上角點擊，選擇區域，本文我們選擇華東-華東1。
3. 依次選擇“網絡”，單擊“虛擬私有云”；進入網絡控制臺頁面。
4. 在左側導航欄，選擇“訪問控制-ACL”選項。
5. 在“ACL”界面，選擇需要添加規則的ACL。
6. 進入“ACL”詳情界面，在入方向規則或出方向規則頁簽，單擊“添加入方向/出方向規則”按鈕。
7. 用戶手動添加規則配置信息如下：

注意
1、對于地域資源池來說，ACL規則的優先級是自動生成的，最先配置的規則優先級最高，因此您需按照表格順序從上到下配置規則。ACL規則的優先級調整方式可參考“調整ACL規則優先級”。
2、對于可用區資源池來說，您可在創建規則的時候指定優先級。因此您需按照表格順序指定規則的優先級從高到低。

步驟三：關聯子網

1. 登錄控制中心。
2. 在控制中心頁面左上角點擊，選擇區域，本文我們選擇華東-華東1。
3. 依次選擇“網絡”，單擊“虛擬私有云”；進入網絡控制臺頁面。
4. 在左側導航欄，選擇“訪問控制-ACL”選項。
5. 在“ACL”界面，找到目標網絡ACL，單擊網絡ACL的名稱。
6. 進入“ACL”詳情頁面，點擊列表頁的“關聯子網”，選擇相應的子網進行關聯。

步驟四：測試連通性

1. 登錄云主機1，具體登錄方法可參考“Windows彈性云主機登錄方式概述”。
2. 執行 ping 命令分別 ping 云主機2、云主機3、任意公網IP地址，驗證通信是否正常。

場景2：拒絕特定端口訪問

假設要防止勒索病毒Wanna Cry的攻擊，需要隔離具有漏洞的應用端口，例如TCP 445端口。您可以在子網層級添加網絡ACL拒絕規則，拒絕所有對TCP 445端口的入站訪問。

以可用區資源池為例，入向規則配置如下：