Smart Access Gateway(Smart Access Gateway)提供存取控制功能,您可以通過存取控制功能,允許或者拒絕指定的流量通過,提高您網路的安全性。
功能說明
組成部分
存取控制基於存取控制規則匹配流量並對流量執行相關的授權策略。存取控制規則由匹配元素和授權策略兩部分組成:
匹配元素:存取控制規則支援通過規則方向、協議類型、源網段、源連接埠、目的網段、目的連接埠等元素匹配流量。
SAG硬體執行個體和SAG App執行個體支援不同的匹配元素,關於SAG硬體執行個體和SAG App執行個體支援的匹配元素,請參見為SAG App執行個體添加存取控制規則和為SAG硬體執行個體添加存取控制規則。
授權策略:指制定策略允許流量通過或拒絕流量通過。
匹配原則
一個存取控制執行個體包含一條或多條存取控制規則。流量預設按照存取控制規則的優先順序,從高優先順序的存取控制規則開始逐條進行匹配(存取控制規則優先順序的數值越小,優先順序越高),如果流量匹配到多個優先順序相同的存取控制規則,則存取控制規則生效原則如下:
授權策略為拒絕的存取控制規則優先生效。
如果多個優先順序相同的存取控制規則的授權策略也相同,則按照最長相符原則,存取控制規則中源網段和目的網段與流量的源IP地址和目的IP地址最匹配的存取控制規則優先生效。
如果多個優先順序相同的存取控制規則的授權策略、源網段、目的網段也相同,則最先配置的存取控制規則優先生效。
在流量匹配到存取控制規則後,系統將按照該存取控制規則中的授權策略執行操作,即允許該流量通過或者拒絕該流量通過,同時該流量的匹配過程立即結束,不再匹配下一條存取控制規則。如果流量沒有匹配到任何存取控制規則,那麼系統允許該流量通過。
使用限制
僅SAG硬體執行個體和SAG App執行個體支援存取控制功能。SAG App執行個體使用存取控制功能預設不開放,如需使用,請向客戶經理申請。
僅SAG硬體執行個體支援建立基於應用的存取控制規則。
建立存取控制執行個體後,不支援修改存取控制執行個體的執行個體類型。
存取控制功能的資源配額限制如下表所示:
資源
預設限制
申請更多配額
一個SAG硬體執行個體可關聯的存取控制執行個體個數
1
無法調整
一個SAG App執行個體可關聯的存取控制執行個體個數
1
無法調整
一個關聯SAG硬體執行個體的存取控制執行個體可建立的存取控制規則個數
50
無法調整
一個關聯SAG App執行個體的存取控制執行個體可建立的存取控制規則個數
50
無法調整
一個阿里雲帳號可建立的存取控制執行個體個數
10
無法調整
使用流程
