網絡ACL定義

網絡ACL是一個子網級別的流量防護策略，您可以自定義設置網絡ACL規則，并將網絡ACL與子網綁定，實現對子網中云服務器實例流量的訪問控制。通過出方向/入方向規則控制出入子網的流量數據。

地域資源池和可用區資源池的網絡ACL存在部分區別，如表1所示：

表1 地域資源池和可用區資源池的網絡ACL的區別

對比項	地域資源池	可用區資源池
是否存在默認規則	不存在默認規則。	存在，每個ACL出/入方向各存在兩條默認規則。具體信息可參考“ACL默認規則”。
創建ACL時是否需要指定子網	創建時需要指定子網。	創建時無需指定子網，可創建后再關聯子網。
ACL與子網之間的對應關系	一個子網支持關聯一個ACL。一個ACL支持關聯一個子網。	一個子網支持關聯一個ACL。一個ACL支持關聯多個子網。
是否支持自定義源/目的地址	入方向規則不支持自定義目的地址。出方向規則不支持自定義源地址。	出/入方向規則均支持自定義源/目的地址。

網絡ACL基本信息

ACL創建后，您可以添加ACL規則自定義訪問控制策略，對于多可用區資源池來說，當ACL中沒有明確的自定義規則時，系統會采用默認的規則。關聯子網后，基于默認安全原則，網絡ACL會默認拒絕所有出入子網的流量，直至添加放通規則。對于地域資源池來說，不存在默認規則，當不匹配規則時默認放通全部流量。

基本特性如下：

針對可用區資源池，網絡ACL與子網之間是一對多的關系，即一個網絡ACL可以對多個子網生效，而一個子網同一時間只能關聯一個網絡ACL。
針對地域資源池，ACL與子網是一對一的關系，即一個網絡ACL只能對一個子網生效，而一個子網同一時間只能關聯一個網絡ACL。
網絡ACL只能在子網級別生效，不能對同一子網內的云主機實例間的流量實現過濾。
網絡ACL支持多種策略，如允許、拒絕。
ACL規則的優先級數字越小則優先級越高。
對于可用區資源池來說，創建網絡ACL后，自動創建出默認規則，它會拒絕所有未明確被允許的訪問請求。默認規則為最低優先級，創建自定義規則后，按照優先級順序執行規則。默認規則不支持修改、刪除、啟用/停用等操作。
對于可用區資源池來說，每個新創建的網絡ACL最初都為未激活狀態，直到您將ACL與子網關聯后才可生效ACL內的規則，實現子網內的流量防控。
網絡ACL是無狀態的，即設置入方向規則的允許請求后，需要同時設置相應的出方向規則，否則可能會導致請求無法響應。您可以根據實際需求進行靈活的設置。

不同資源池列表見產品簡介-資源池區別頁面，實際情況以控制臺展現為準。