阿里云VPC网络ACL与安全防护完全指南：从子网隔离到纵深防御

1. 引言：云上网络安全的基石——VPC访问控制

在云计算环境中，网络安全性是企业将核心业务部署上云时优先考虑的核心因素。阿里云专有网络VPC（Virtual Private Cloud）通过逻辑隔离与多层次访问控制机制，为企业提供了强大的安全保障。然而，仅凭VPC本身的隔离能力并不足以应对复杂的网络威胁场景——东西向流量的横向移动、子网间的未授权访问、来自互联网的恶意攻击等，都需要精细化的访问控制策略来加以防范。

阿里云VPC提供了多种网络访问控制手段，主要包括网络ACL（Access Control List）、安全组（Security Group）、云防火墙（Cloud Firewall）等。这些工具在不同层面发挥着各自的防护作用，合理地协同使用能够显著增强云环境的安全性。本文将以网络ACL为核心切入点，系统讲解VPC网络访问控制的完整知识体系，从基础概念到高级实践，帮助读者构建坚固的云上安全防线。

2. 网络ACL概述：子网级别的无状态防火墙

2.1 什么是网络ACL

网络ACL是专有网络VPC中的网络访问控制功能，是一种在虚拟交换机上生效的规则集合，对经交换机跨子网的流量进行访问控制。与安全组在实例维度工作不同，网络ACL作用于子网级别，可以将其理解为VPC子网的“防火墙”。通过将网络ACL与交换机绑定，可以实现对交换机中云服务器ECS实例流量的访问控制。

网络ACL作为一种免费的安全服务，不收取额外费用，仅消耗少量管理资源。它通过设置入方向和出方向规则，实现子网级别的无状态访问控制。流量进入VPC网络会先到达交换机，网络ACL相较于安全组、云防火墙会更加前置——入方向流量先用网络ACL过滤掉非法流量，有助于节省后面的处理资源；对于出公网流量，先到达交换机再到公网出口，出方向流量先用网络ACL过滤掉不必要流量，有助于节省公网出口带宽。

2.2 网络ACL的核心特性

网络ACL具备以下核心特性：精确流量控制——支持协议类型、端口范围、IP地址的精细化过滤；子网级防护——批量保护同一子网下的所有ECS实例；规则热生效——修改后自动应用到关联子网，无需重启实例；免费使用——不产生额外费用。此外，网络ACL作为无状态包过滤工具，其入方向和出方向规则需要分别独立配置。

2.3 网络ACL与安全组的本质区别

理解网络ACL与安全组的区别是正确使用这两种工具的前提。安全组是实例维度的（确切说是网卡维度），规定实例应该允许或禁止什么网络访问行为，考虑实例本身的业务属性和安全需求。网络ACL则是子网维度的，规定跨子网通信应该允许或禁止什么网络访问行为，考虑子网的业务属性和安全需求。

两者在工作方式上存在根本性差异：安全组是有状态的，会自动允许回包。例如，当您允许入方向访问80端口的流量时，只需为请求添加入方向规则，无需配置出方向规则，相关响应流量会自动被允许。而网络ACL是无状态的，回包需要单独允许。例如，允许入方向访问80端口的流量时，既要为请求添加入方向规则，也要为响应添加出方向规则。这一差异在实际配置中至关重要，忽略了网络ACL的无状态特性往往会导致流量被意外阻断。

从应用场景来看，安全组适用于实例间互访、对外开放端口等场景；网络ACL则适用于交换机级别的隔离、跨交换机访问控制等场景。安全组实现了灵活的、细粒度的网络访问控制能力，结合网络ACL可以做有益补充。通过网络ACL规则叠加防护，可以避免实例忘记加入安全组或安全组规则误配置带来的网络风险。

3. 网络ACL配置实战

需要先登录阿里云控制台，点击：阿里云控制台

3.1 创建网络ACL

创建网络ACL的步骤如下：（1）登录阿里云控制台，进入专有网络VPC管理页面；（2）在左侧导航栏找到网络ACL，点击创建ACL；（3）输入名称（如web-tier-acl），绑定目标VPC。需要注意的是，未绑定子网的ACL不会生效。

3.2 配置入方向和出方向规则

网络ACL规则的配置基于五元组进行精确匹配。五元组包括：源IP地址、目标IP地址、源端口、目标端口、传输层协议。通过这五个元素的组合，可以实现对网络流量的精细化控制。

入方向规则控制进入子网的流量，出方向规则控制离开子网的流量。规则的优先级通过规则编号来控制——编号越小，优先级越高，越先被匹配。在配置策略时，通常采用“默认拒绝+精确允许”的模式：首先设置一条默认规则拒绝所有非明确允许的流量，建立安全的基线；然后添加更高优先级的规则，明确允许业务所需的特定流量。

以下是一个典型的网络ACL配置示例：假设有两个VPC——VPC1（10.200.0.0/16）部署了需要访问VPC2资源的应用，VPC2（10.1.0.0/16）承载了多种业务实例。为了建立清晰的安全边界，在VPC2负责与VPC1对接的交换机上配置网络ACL。首先设置默认规则拒绝所有来自VPC1网段的入站流量以及所有去往VPC1的出站流量；然后添加高优先级规则明确允许VPC1与VPC2中目标集群（10.1.38.0/24）之间通过80端口进行双向通信。入站规则允许源地址为10.200.0.0/16、目标地址为10.1.38.0/24、协议为TCP、端口为80的流量进入；出站规则允许源地址为10.1.38.0/24、目标地址为10.200.0.0/16、协议为TCP、使用临时端口范围的流量出去（响应流量）。

3.3 关联子网

创建并配置好网络ACL规则后，需要将ACL与目标子网进行绑定。在ACL详情页找到关联子网操作，绑定目标业务子网。绑定后，子网内的ECS实例将同时受安全组（实例级）和网络ACL（子网级）的双重管控。

3.4 典型场景配置示例

Web服务器防护场景：入站方向放行80和443端口，拒绝其他所有端口；出站方向限制仅访问数据库子网。数据库隔离场景：入站方向仅允许应用服务器IP访问3306端口。这些配置能够有效缩小攻击面，实现不同安全等级子网之间的隔离。

4. 安全组：实例级别的虚拟防火墙

4.1 安全组的基本概念

安全组是VPC内的虚拟防火墙，能够控制进出ECS实例的流量。通过将具有相同安全需求并相互信任的ECS实例放入相同的安全组，可以划分安全域，保障云上资源的安全。安全组入方向规则控制实例的入站流量，出方向规则控制实例的出站流量。

4.2 安全组配置规划与原则

在阿里云中，一台实例最多可以加入五个安全组，一个安全组最多可以包括200条安全组规则。因此，在配置安全组规则之前，建议先明确所有实例的访问限制，提前规划好每一条规则和覆盖的应用或实例，避免因临时添加的规则过多而增加管理复杂度。

使用安全组时应遵循以下原则：最小范围开放原则——选择开放具体的端口（如80端口），避免设置0.0.0.0/0作为授权对象，不需要公网访问的资源不必提供公网IP；按角色细化权限管理——安全组是从网络访问维度规划的业务角色，实例不能扮演过多角色，不建议加入太多组，也不要用一个安全组管理所有应用或为每台实例单独设置一个安全组；变更前必须测试——修改线上的安全组之前应先克隆一个安全组进行调试；配置安全组审计——对安全组规则的合规性进行审计；限制RAM用户权限——限制子账户创建和引用存在安全风险的安全组。

4.3 安全组与网络ACL的协同使用

安全组与网络ACL结合使用可以达到纵深防御的效果。流量进入VPC会先经过网络ACL（子网级），再经过安全组（实例级）。入方向流量先用网络ACL过滤掉非法流量，有助于节省后面的处理资源。这种多层过滤机制确保了即便某一层配置出现疏漏，其他层仍能提供保护。在实际生产环境中，建议将网络ACL作为第一道防线用于子网边界的粗粒度过滤，安全组作为第二道防线用于实例级别的细粒度控制。

5. 云防火墙：企业级统一安全管控

5.1 云防火墙概述

针对企业级场景，阿里云提供云防火墙产品，为整个VPC或特定的VPC之间提供统一的安全策略管理。云防火墙是云原生边界安全防护产品，可实现互联网边界、VPC边界、NAT边界及主机边界的全方位流量管控，具备访问控制、入侵防御（IPS）、日志审计等核心能力。与安全组和网络ACL相比，云防火墙具备深度包检测（DPI）能力，可以对流量的内容进行更细致的分析和过滤。

5.2 入侵防御（IPS）能力

云防火墙的入侵防御IPS能力可以实时主动检测和拦截黑客恶意攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马、DoS等恶意流量。只有开启VPC边界防火墙才能配置VPC边界的IPS防御能力。基础防御可提供命令执行漏洞拦截、对被感染后连接C&C（命令控制）的行为管控等基础防护能力。

IPS防御模式分为两种：观察模式——对恶意流量进行监控并告警；拦截模式——对恶意流量进行拦截，阻断入侵活动。在实际部署中，建议先在观察模式下运行一段时间，充分了解业务流量特征后再切换到拦截模式，以避免误拦截影响正常业务。

5.3 VPC边界防火墙配置

VPC边界防火墙可用于检测和控制通过云企业网或高速通道连接的网络实例间的通信流量。开启VPC边界防火墙后，云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等，对VPC互访的流量进行过滤。

在对两个VPC之间的流量进行管控时，可以采用两种模式：黑名单模式——对不可信或业务不需要的流量配置拒绝访问策略，再放行其他流量；白名单模式——对可信或业务需要的流量配置放行访问策略，再拒绝其他流量。配置VPC边界访问控制策略时需要指定源类型、目的类型、网络传输协议、端口类型等参数。

6. 流量镜像：无侵入的安全监控

6.1 流量镜像概述

VPC流量镜像提供旁路监控方案，在不影响业务流量的前提下，将符合筛选条件的出入指定弹性网卡的流量复制并转发到安全分析设备，实现实时检测。通过流量镜像功能，可以复制VPC中ECS实例的网络流量，然后将复制后的网络流量转发给指定的弹性网卡或私网传统型负载均衡CLB实例，用于内容检查、威胁监控和问题排查等场景。

6.2 流量镜像安全审查实践

在实际场景中，可以使用流量镜像将ECS的网络流量复制到另一台部署着网络威胁检测系统的ECS上，通过配置安全规则实时检测镜像网络流量。推荐使用Suricata作为报文接收和异常检测的核心组件，因其支持VXLAN解封装、提供入侵检测（IDS）、入侵防御（IPS）和网络安全监控功能。日志处理方面，通过Filebeat采集Suricata日志，通过Elasticsearch进行索引存储，在Kibana进行可视化查询、分析和展示。

配置流量镜像的简要步骤如下：（1）在目标ECS上安装并配置Suricata；（2）创建流量镜像筛选条件，指定需要镜像的流量特征；（3）配置镜像源和镜像目的；（4）启动镜像会话。需要注意的是，镜像源和镜像目的不属于同一个VPC时，需要确保VPC间互通。

7. 多层次安全防护体系

7.1 网络分层设计

网络分层是强大网络安全架构的基础。应按安全敏感性对系统组件进行分组，并将其隔离到不同的网络层中。这可以限制当某一层被攻破时的影响范围——攻击者攻破一层后无法自动到达其他层。例如，VPC中的数据库集群不应直接暴露到互联网，应部署到没有互联网路由的交换机上。组件之间的流量应仅流向相同或相邻安全级别的组件。

常见的反模式包括：将所有资源放在单个VPC或交换机中——这会消除服务之间的隔离，扩大安全漏洞的影响范围；将敏感数据直接暴露到互联网；通过互联网路由VPC之间或数据中心与VPC之间的内部流量；配置过于宽泛的安全组规则。

7.2 南北向流量防护

对于互联网与VPC之间的南北向流量，应按从最宽到最窄的防护范围分层应用安全控制：Anti-DDoS基础防护、DDoS高防和WAF、互联网防火墙、划分公网和私网交换机的VPC入站路由、网络ACL、安全组或IP白名单。DDoS高防和WAF联合部署时采用以下架构：DDoS高防（入口层，防御DDoS攻击）→ WAF（中间层，防御Web应用攻击）→ 源站服务器。网站业务流量先经过DDoS高防清洗，再经过WAF进行应用层检测。

7.3 东西向流量防护

对于VPC内部及VPC之间的东西向流量，可使用网络ACL保护子网边界。企业客户可以结合使用转发路由器（TR）和云防火墙，实现云上内网东西向流量的安全监控、访问控制、实时入侵防御。通过配置TR与VPC边界防火墙之间的互访路由，实现VPC边界防火墙对云企业网TR连接的VPC之间所有流量的防护。

8. 身份与访问管理（RAM）安全策略

除了网络层的访问控制，身份与权限管理也是VPC安全体系的重要组成部分。通过RAM（资源访问管理）可以实现对VPC资源的精细化权限管控。可以为VPC绑定标签，通过RAM的自定义策略指定授权的标签，利用标签限制RAM用户只能在指定的VPC中创建和管理交换机、网络ACL等资源。

创建自定义权限策略后，需为RAM用户、用户组或RAM角色绑定权限策略，这些RAM身份才能获得权限策略中指定的访问权限。VPC的RAM代码为vpc，支持的授权粒度为资源级。通过合理配置RAM策略，可以实现网络管理权限的最小化授权，降低因权限过大导致的安全风险。

9. 最佳实践总结

基于以上分析，总结阿里云VPC网络ACL与安全防护的最佳实践如下：

（1）采用网络分层设计，按安全敏感性划分不同网络层，将数据库等敏感资源部署在无公网路由的子网中。

（2）网络ACL与安全组协同使用，以网络ACL作为子网边界的第一道防线进行粗粒度过滤，以安全组作为实例边界的第二道防线进行细粒度控制。

（3）遵循最小权限原则，在安全组和网络ACL中仅开放业务必需的端口和协议，避免使用0.0.0.0/0等过于宽泛的授权范围。

（4）对于跨VPC通信场景，使用VPC边界防火墙进行统一管控，根据业务需求选择黑名单模式或白名单模式。

（5）利用流量镜像实现无侵入的安全监控，结合Suricata等开源工具进行流量分析和威胁检测。

（6）通过RAM实现网络管理权限的精细化管控，使用标签和自定义策略限制用户仅能在授权范围内操作。

（7）配置安全组审计，将安全组规则的合规性审计结果投递到日志服务SLS中，及时发现不符合审计规则的变更。

10. 常见问题解答

问1：网络ACL规则修改后需要重启ECS实例吗？

不需要。网络ACL规则支持热生效，修改后会自动应用到关联子网，无需重启实例。

问2：网络ACL和安全组同时配置时，流量先经过哪个？

流量先经过网络ACL（子网级），再经过安全组（实例级）。入方向流量先用网络ACL过滤掉非法流量，再交给安全组处理。

问3：网络ACL为什么需要分别配置入方向和出方向规则？

因为网络ACL是无状态的，不会自动允许响应流量。例如，允许入方向访问80端口的流量时，既要为请求添加入方向规则，也要为响应添加出方向规则。

问4：VPC边界防火墙的IPS模式应该如何选择？

建议先在观察模式下运行，充分了解业务流量特征后再切换到拦截模式。观察模式对恶意流量进行监控并告警，拦截模式则直接阻断入侵活动。

问5：流量镜像会影响源ECS实例的性能吗？

不会。流量镜像采用旁路监控方案，在不影响业务流量的前提下复制网络流量，对源实例的性能几乎没有影响。

问6：如何实现跨VPC的统一安全管控？

可以使用云防火墙的VPC边界防火墙功能，结合云企业网（CEN）或高速通道，对跨VPC的东西向流量进行统一管控。通过配置TR与VPC边界防火墙之间的互访路由，实现对所有跨VPC流量的防护。