Amazon Virtual Private Cloud
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

您的 VPC 的推荐网络 ACL 规则

VPC 向导帮助您实现 Amazon VPC 的常见方案。如果按文档所述的那样实现这些方案,则将使用默认网络访问控制列表 (ACL),其中允许所有入站和出站流量。如果需要增加一层安全防护,则可创建网络 ACL 并添加规则。我们建议对每个场景使用以下规则。

有关网络 ACL 及其使用方法的详细信息,请参阅网络 ACL

重要

  • 我们对 NAT 网关使用例如 49152-65535 或 1024-65535 的临时端口范围。您必须为您选择的配置适合的大小。有关更多信息,请参阅 临时端口

  • 如果您子网中主机间的最大传输单位 (MTU) 不同,您必须添加以下入站和出站网络 ACL 规则,以便确保路径 MTU 发现可正常工作并防止数据包丢失:Custom ICMP Rule 类型和 Destination Unreachable: fragmentation required, and DF flag set 端口范围 (类型 3,代码 4)。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的 EC2 实例的网络最大传输单位 (MTU)

场景 1 的推荐规则

场景 1 是一个子网,其中的实例可接收和发送 Internet 流量。有关更多信息,请参阅 场景 1:带单个公有子网的 VPC

下表显示我们推荐制定的规则。除了已经明确要求的数据流之外,它们会阻塞所有数据流。

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

100

0.0.0.0/0

TCP

80

允许

允许来自任意 IPv4 地址的入站 HTTP 流量。

110

0.0.0.0/0

TCP

443

允许

允许来自任意 IPv4 地址的入站 HTTPS 流量。

120

您的家庭网络的公有 IPv4 地址范围

TCP

22

允许

允许来自您的家庭网络的入站 SSH 流量 (通过 Internet 网关)。

130

您的家庭网络的公有 IPv4 地址范围

TCP

3389

允许

允许来自您的家庭网络的入站 RDP 流量 (通过 Internet 网关)。

140

0.0.0.0/0

TCP

49152-65535

允许

允许来自 Internet 上的主机的入站返回流量,这些流量对应于源自子网的请求。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv4 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

100

0.0.0.0/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

110

0.0.0.0/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet。

120

0.0.0.0/0

TCP

49152-65535

允许

允许对 Internet 客户端进行出站响应 (例如,向访问子网中的 Web 服务器的人员提供网页)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv4 流量。

适用于 IPv6 的推荐规则

如果您实现了支持 IPv6 的场景 1 并创建了具有关联 IPv6 CIDR 块的 VPC 和子网,则必须向网络 ACL 添加单独的规则,以控制入站和出站 IPv6 流量。

以下是您的网络 ACL 的 IPv6 特定规则 (除了上面列出的规则以外)。

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

150

::/0

TCP

80

允许

允许来自任意 IPv6 地址的入站 HTTP 流量。

160

::/0

TCP

443

允许

允许来自任意 IPv6 地址的入站 HTTPS 流量。

170

您的家庭网络的 IPv6 地址范围

TCP

22

允许

允许来自您的家庭网络的入站 SSH 流量 (通过 Internet 网关)。

180

您的家庭网络的 IPv6 地址范围

TCP

3389

允许

允许来自您的家庭网络的入站 RDP 流量 (通过 Internet 网关)。

190

::/0

TCP

49152-65535

允许

允许来自 Internet 上的主机的入站返回流量,这些流量对应于源自子网的请求。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

130

::/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

140

::/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet。

150

::/0

TCP

49152-65535

允许

允许对 Internet 客户端进行出站响应 (例如,向访问子网中的 Web 服务器的人员提供网页)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。

场景 2 的推荐规则

场景 2 是一个公有子网,其中的实例可接收和发送 Internet 流量,以及一个私有子网,它无法直接从 Internet 收到流量。但是,它可以通过公有子网中的 NAT 网关或 NAT 实例启动发送到 Internet 的数据流 (并接收响应)。有关更多信息,请参阅 场景 2:带有公有子网和私有子网 (NAT) 的 VPC

在这个场景中,您的公有子网有网络 ACL,私有子网有另一个单独的网络 ACL。下表显示我们推荐为每个 ACL 制定的规则。除了已经明确要求的数据流之外,它们会阻塞所有数据流。它们大多会在场景中模拟安全组规则。

公有子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

100

0.0.0.0/0

TCP

80

允许

允许来自任意 IPv4 地址的入站 HTTP 流量。

110

0.0.0.0/0

TCP

443

允许

允许来自任意 IPv4 地址的入站 HTTPS 流量。

120

您家庭网络的公共 IP 地址范围

TCP

22

允许

允许来自您的家庭网络的入站 SSH 流量 (通过 Internet 网关)。

130

您家庭网络的公共 IP 地址范围

TCP

3389

允许

允许来自您的家庭网络的入站 RDP 流量 (通过 Internet 网关)。

140

0.0.0.0/0

TCP

1024-65535

允许

允许来自 Internet 上的主机的入站返回流量,这些流量对应于源自子网的请求。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv4 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

100

0.0.0.0/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

110

0.0.0.0/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet。

120

10.0.1.0/24

TCP

1433

允许

允许对私有子网中的数据库服务器进行出站 MS SQL 访问.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

140

0.0.0.0/0

TCP

49152-65535

允许

允许对 Internet 客户端进行出站响应 (例如,向访问子网中的 Web 服务器的人员提供网页)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

150

10.0.1.0/24

TCP

22

允许

允许对您的私有子网中的实例 (从 SSH 堡垒实例,如果有) 进行出站 SSH 访问。

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv4 流量。

私有子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

100

10.0.0.0/24

TCP

1433

允许

允许公有子网中的 Web 服务器读写私有子网中的 MySQL 服务器.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

120

10.0.0.0/24

TCP

22

允许

允许来自公有子网的 SSH 堡垒实例的入站 SSH 流量 (如果有)。

130

10.0.0.0/24

TCP

3389

允许

允许公有子网的 Microsoft Terminal Services 网关的入站 RDP 数据流 (通过虚拟专用网关)。

140

0.0.0.0/0

TCP

1024-65535

允许

允许从公有子网中的 NAT 设备返回的入站流量,以处理源于私有子网的请求。

有关如何指定正确的临时端口的信息,请参阅本主题开始部分的重要说明。

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的 IPv4 入站流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

100

0.0.0.0/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

110

0.0.0.0/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet。

120

10.0.0.0/24

TCP

49152-65535

允许

允许对公有子网的出站响应 (例如,响应与私有子网中的数据库服务器通信的公有子网中的 Web 服务器)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv4 流量。

适用于 IPv6 的推荐规则

如果您实现了支持 IPv6 的场景 2 并创建了具有关联 IPv6 CIDR 块的 VPC 和子网,则必须向网络 ACL 添加单独的规则,以控制入站和出站 IPv6 流量。

以下是您的网络 ACL 的 IPv6 特定规则 (除了上面列出的规则以外)。

公有子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

150

::/0

TCP

80

允许

允许来自任意 IPv6 地址的入站 HTTP 流量。

160

::/0

TCP

443

允许

允许来自任意 IPv6 地址的入站 HTTPS 流量。

170

您的家庭网络的 IPv6 地址范围

TCP

22

允许

允许来自您的家庭网络的通过 IPv6 的入站 SSH 流量 (通过 Internet 网关)。

180

您的家庭网络的 IPv6 地址范围

TCP

3389

允许

允许来自您的家庭网络的通过 IPv6 的入站 RDP 流量 (通过 Internet 网关)。

190

::/0

TCP

1024-65535

允许

允许来自 Internet 上的主机的入站返回流量,这些流量对应于源自子网的请求。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

160

::/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

170

::/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet

180

2001:db8:1234:1a01::/64

TCP

1433

允许

允许对私有子网中的数据库服务器进行出站 MS SQL 访问.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

200

::/0

TCP

49152-65535

允许

允许对 Internet 上客户端的出站响应 (例如,向访问子网中的 Web 服务器的人员提供网页)

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

210

2001:db8:1234:1a01::/64

TCP

22

允许

允许对您的私有子网中的实例 (从 SSH 堡垒实例,如果有) 进行出站 SSH 访问。

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。

私有子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

150

2001:db8:1234:1a00::/64

TCP

1433

允许

允许公有子网中的 Web 服务器读写私有子网中的 MySQL 服务器.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

170

2001:db8:1234:1a00::/64

TCP

22

允许

允许来自公有子网的 SSH 堡垒实例的入站 SSH 流量 (如果适用)。

180

2001:db8:1234:1a00::/64

TCP

3389

允许

允许公有子网的 Microsoft Terminal Services 网关的入站 RDP 流量 (如果适用)。

190

::/0

TCP

1024-65535

允许

允许从仅出口 Internet 网关返回的入站流量,以处理源于私有子网的请求。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

130

::/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

140

::/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet。

150

2001:db8:1234:1a00::/64

TCP

49152-65535

允许

允许对公有子网的出站响应 (例如,响应与私有子网中的数据库服务器通信的公有子网中的 Web 服务器)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。

场景 3 的推荐规则

场景 3 是一个公有子网,其中的实例可接收和发送 Internet 流量,以及一个仅限 VPN 的子网,其中的实例只能通过 VPN 连接与您的本地网络通信。有关更多信息,请参阅 场景 3:带有公有和私有子网以及硬件 VPN 访问的 VPC

在这个场景中,您的公有子网有网络 ACL,以及仅限 VPN 连接的子网的另一个单独的网络 ACL。下表显示我们推荐为每个 ACL 制定的规则。除了已经明确要求的数据流之外,它们会阻塞所有数据流。

公有子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

100

0.0.0.0/0

TCP

80

允许

允许从任意 IPv4 地址到 Web 服务器的入站 HTTP 流量。

110

0.0.0.0/0

TCP

443

允许

允许从任意 IPv4 地址到 Web 服务器的入站 HTTPS 流量。

120

您的家庭网络的公有 IPv4 地址范围

TCP

22

允许

允许从您的家庭网络到 Web 服务器的入站 SSH 流量 (通过 Internet 网关)。

130

您的家庭网络的公有 IPv4 地址范围

TCP

3389

允许

允许从您的家庭网络到 Web 服务器的入站 RDP 流量 (通过 Internet 网关)。

140

0.0.0.0/0

TCP

49152-65535

允许

允许来自 Internet 上的主机的入站返回流量,这些流量对应于源自子网的请求。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv4 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

100

0.0.0.0/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

110

0.0.0.0/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet。

120

10.0.1.0/24

TCP

1433

允许

允许对仅限 VPN 连接的子网中的数据库服务器进行出站 MS SQL 访问.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

140

0.0.0.0/0

TCP

49152-65535

允许

允许对 Internet 客户端进行出站 IPv4 响应 (例如,向访问子网中的 Web 服务器的人员提供网页)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

仅限 VPN 的子网的 ACL 设置

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

100

10.0.0.0/24

TCP

1433

允许

允许公有子网中的 Web 服务器读写仅限 VPN 连接的子网中的 MS SQL 服务器.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

120

您的家庭网络的私有 IPv4 地址范围

TCP

22

允许

允许来自家庭网络的入站 SSH 流量 (通过虚拟专用网关)。

130

您的家庭网络的私有 IPv4 地址范围

TCP

3389

允许

允许来自家庭网络的入站 RDP 流量 (通过虚拟专用网关)。

140

您的家庭网络的私有 IP 地址范围

TCP

49152-65535

允许

允许本地网络中的客户端返回的入站流量 (通过虚拟专用网关)

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站数据流。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

100

您的家庭网络的私有 IP 地址范围

全部

全部

允许

允许从子网到您的家庭网络的所有出站数据流 (通过虚拟专用网关)。该规则还包括规则 120;但是,可以通过使用特定协议类型及端口编号使此规则更为严格。如果您使此规则更为严格,则您的网络 ACL 中必须包括规则 120,以确保出站响应不会被阻止。

110

10.0.0.0/24

TCP

49152-65535

允许

允许对公有子网中 Web 服务器的出站响应.

有关如何指定正确的临时端口的信息,请参阅本主题开始部分的重要说明。

120

您的家庭网络的私有 IP 地址范围

TCP

49152-65535

允许

允许对本地网络中客户端的出站响应 (通过虚拟专用网关)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

适用于 IPv6 的推荐规则

如果您实现了支持 IPv6 的场景 3 并创建了具有关联 IPv6 CIDR 块的 VPC 和子网,则必须向网络 ACL 添加单独的规则,以控制入站和出站 IPv6 流量。

以下是您的网络 ACL 的 IPv6 特定规则 (除了上面列出的规则以外)。

公有子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

150

::/0

TCP

80

允许

允许来自任意 IPv6 地址的入站 HTTP 流量。

160

::/0

TCP

443

允许

允许来自任意 IPv6 地址的入站 HTTPS 流量。

170

您的家庭网络的 IPv6 地址范围

TCP

22

允许

允许来自您的家庭网络的通过 IPv6 的入站 SSH 流量 (通过 Internet 网关)。

180

您的家庭网络的 IPv6 地址范围

TCP

3389

允许

允许来自您的家庭网络的通过 IPv6 的入站 RDP 流量 (通过 Internet 网关)。

190

::/0

TCP

1024-65535

允许

允许来自 Internet 上的主机的入站返回流量,这些流量对应于源自子网的请求。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

150

::/0

TCP

80

允许

允许出站 HTTP 流量从子网流向 Internet。

160

::/0

TCP

443

允许

允许出站 HTTPS 流量从子网流向 Internet。

170

2001:db8:1234:1a01::/64

TCP

1433

允许

允许对私有子网中的数据库服务器进行出站 MS SQL 访问.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

190

::/0

TCP

49152-65535

允许

允许对 Internet 上客户端的出站响应 (例如,向访问子网中的 Web 服务器的人员提供网页)

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。

仅限 VPN 的子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

150

2001:db8:1234:1a00::/64

TCP

1433

允许

允许公有子网中的 Web 服务器读写私有子网中的 MySQL 服务器.

此端口号仅为示例。其他示例包括用于访问 MySQL/Aurora 的 3306、用于访问 PostgreSQL 的 5432、用于访问 Amazon Redshift 的 5439 和用于访问 Oracle 的 1521。

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

130

2001:db8:1234:1a00::/64

TCP

49152-65535

允许

允许对公有子网的出站响应 (例如,响应与私有子网中的数据库服务器通信的公有子网中的 Web 服务器)。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。

场景 4 的推荐规则

场景 4 是一个子网,其中的实例只能通过 VPN 连接与您的本地网络通信。有关详细信息,请参阅场景 4:仅带有私有子网和硬件 VPN 访问的 VPC

下表显示我们推荐制定的规则。除了已经明确要求的数据流之外,它们会阻塞所有数据流。

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

100

您的家庭网络的私有 IP 地址范围

TCP

22

允许

允许从您的家庭网络到子网的入站 SSH 数据流.

110

您的家庭网络的私有 IP 地址范围

TCP

3389

允许

允许从您的家庭网络到子网的入站 RDP 数据流.

120

您的家庭网络的私有 IP 地址范围

TCP

49152-65535

允许

允许在子网中产生的请求返回的 入站流量。

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站数据流。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

100

您的家庭网络的私有 IP 地址范围

全部

全部

允许

允许从子网到您的家庭网络的所有出站数据流. 该规则还包括规则 120;但是,可以通过使用特定协议类型及端口编号使此规则更为严格。如果您使此规则更为严格,则您的网络 ACL 中必须包括规则 120,以确保出站响应不会被阻止。

120

您的家庭网络的私有 IP 地址范围

TCP

49152-65535

允许

允许对本地网络中客户端的出站响应.

此范围仅为示例。有关为您的配置选择正确的临时端口的信息,请参阅临时端口

*

0.0.0.0/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

适用于 IPv6 的推荐规则

如果您实现了支持 IPv6 的场景 4 并创建了具有关联 IPv6 CIDR 块的 VPC 和子网,则必须向网络 ACL 添加单独的规则,以控制入站和出站 IPv6 流量。

在这种情况下,无法通过使用 IPv6 的 VPN 连接访问数据库服务器,因此,不需要设置额外的网络 ACL 规则。以下是拒绝 IPv6 流量流入和流出子网的默认规则。

仅限 VPN 的子网的 ACL 规则

入站
规则 # 源 IP 协议 端口 允许/拒绝 注释

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的入站 IPv6 流量。

出站
规则 # 目的 IP 协议 端口 允许/拒绝 注释

*

::/0

全部

全部

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站 IPv6 流量。