智能接入网关SAG(Smart Access Gateway)提供访问控制功能,您可以通过访问控制功能,允许或者拒绝指定的流量通过,提高您网络的安全性。
功能说明
组成部分
访问控制基于访问控制规则匹配流量并对流量执行相关的授权策略。访问控制规则由匹配元素和授权策略两部分组成:
- 匹配元素:访问控制规则支持通过规则方向、协议类型、源网段、源端口、目的网段、目的端口等元素匹配流量。
SAG硬件实例和SAG App实例支持不同的匹配元素,关于SAG硬件实例和SAG App实例支持的匹配元素,请参见为SAG App实例添加访问控制规则和为SAG硬件实例添加访问控制规则。
- 授权策略:指制定策略允许流量通过或拒绝流量通过。
匹配原则
一个访问控制实例包含一条或多条访问控制规则。流量默认按照访问控制规则的优先级,从高优先级的访问控制规则开始逐条进行匹配(访问控制规则优先级的数值越小,优先级越高),如果流量匹配到多个优先级相同的访问控制规则,则访问控制规则生效原则如下:
- 授权策略为拒绝的访问控制规则优先生效。
- 如果多个优先级相同的访问控制规则的授权策略也相同,则按照最长匹配原则,访问控制规则中源网段和目的网段与流量的源IP地址和目的IP地址最匹配的访问控制规则优先生效。
- 如果多个优先级相同的访问控制规则的授权策略、源网段、目的网段也相同,则最先配置的访问控制规则优先生效。
在流量匹配到访问控制规则后,系统将按照该访问控制规则中的授权策略执行操作,即允许该流量通过或者拒绝该流量通过,同时该流量的匹配过程立即结束,不再匹配下一条访问控制规则。如果流量没有匹配到任何访问控制规则,那么系统允许该流量通过。
使用限制
- 仅SAG App实例和SAG硬件实例支持访问控制功能。
- 仅SAG硬件实例支持创建基于应用的访问控制规则。
- 创建访问控制实例后,不支持修改访问控制实例的实例类型。
- 访问控制功能的资源配额限制如下表所示:
资源 默认限制 申请更多配额 一个SAG硬件实例可关联的访问控制实例个数 1 无法调整 一个SAG App实例可关联的访问控制实例个数 1 无法调整 一个关联SAG硬件实例的访问控制实例可创建的访问控制规则个数 50 无法调整 一个关联SAG App实例的访问控制实例可创建的访问控制规则个数 50 无法调整 一个阿里云账号可创建的访问控制实例个数 10 无法调整
使用流程
