Smart Access Gateway (SAG) は、指定した送信元からのリクエストを拒否または許可できるアクセス制御リスト (ACL) をサポートしています。ACL はネットワーク セキュリティを向上させます。
機能の説明
コンポーネント
ACL は、指定された ACL ルールとアクション ポリシーに基づいてトラフィックをフィルタリングするために使用されます。ACL ルールは、一致条件とアクション ポリシーで構成されます。
一致条件: ACL ルールは、ルールの方向、プロトコル、送信元 CIDR ブロック、送信元ポート、宛先 CIDR ブロック、および宛先ポートで構成されます。リクエストは、これらの照合条件と照合されます。
SAG CPE インスタンスとアプリ インスタンスは、異なる一致条件をサポートしています。詳細については、「SAG アプリ インスタンスの ACL を作成する」および「SAG CPE インスタンスの ACL を作成する」をご参照ください。
アクション ポリシー: ACL ルールに一致するリクエストを許可するか拒否するかを指定できます。
一致ルール
1 つ以上の ACL ルールを ACL に追加できます。デフォルトでは、リクエストはルール優先度の降順で ACL ルールと照合されます。優先度の値が小さいほど、優先度が高くなります。リクエストが複数の ACL ルールに一致する場合、ACL ルールは次の条件に基づいて適用されます。
アクションが「拒否」である ACL ルールが最初に適用されます。
複数のアクションと優先度が同じ ACL ルールが存在する場合、送信元 CIDR ブロックと宛先 CIDR ブロックがリクエストの送信元 CIDR ブロックと宛先 CIDR ブロックに一致する ACL ルールが最初に適用されます。
複数のアクション、優先度、送信元 CIDR ブロック、および宛先 CIDR ブロックが同じ ACL ルールが存在する場合、最も早く追加された ACL ルールが最初に適用されます。
リクエストが ACL ルールに一致する場合、システムは ACL ルールで指定されたアクションに基づいてリクエストを許可または拒否します。この場合、一致プロセスはすぐに終了し、システムは残りの ACL ルールとのリクエストの照合を停止します。リクエストが ACL ルールに一致しない場合、システムはデフォルトでリクエストを許可します。
制限
SAG アプリ インスタンスと CPE インスタンスのみが ACL をサポートしています。ACL は、デフォルトでは SAG アプリ インスタンスでは使用できません。SAG アプリ インスタンスの ACL を有効にするには、アカウント マネージャーにお問い合わせください。
SAG CPE インスタンスのみがアプリケーション認識型 ACL をサポートしています。
ACL を作成した後、ACL タイプを変更することはできません。
次の表に、リソース クォータの制限を示します。
リソース
デフォルト クォータ
調整可能
SAG CPE インスタンスに関連付けることができる ACL の最大数
1
いいえ
SAG アプリ インスタンスに関連付けることができる ACL の最大数
1
いいえ
SAG CPE インスタンスに作成できる ACL ルールの最大数
50
いいえ
SAG アプリ インスタンスに作成できる ACL ルールの最大数
50
いいえ
Alibaba Cloud アカウントで作成できる ACL の最大数
10
いいえ
手順
