网络访问控制简介

网络访问控制功能包括网络 ACL 和基础网络安全策略。网络 ACL 是私有网络（VxNet）的进出流量控制表，您可以在这里创建和配置 ACL 规则， ACL 规则中声明了哪些流量可以进/出私有网络（VxNet），所以可以通过 ACL 控制进出流量。基础网络安全策略则定义了在青云QingCloud环境中，用户自身的基础网络是否对其他用户开放，默认禁用也就是默认用户的基础网络内的资源只受安全组限制。

网络 ACL 与安全组的功能类似，但是网络 ACL 绑定给私有网络，安全组一般直接绑定给云服务器或者负载均衡器。网络 ACL 中更适合配置私有网络 VxNet 通用的安全规则。

举例说明：

数据库所在的网段绝对不对公网开放，可以先配置上行和下行优先级 255 （最低的优先级一般用于保底规则）、拒绝 IPv4 的所有地址的规则，以及上行和下行优先级 255、拒绝 IPv6 的所有地址的规则。假如对内部网络（假设为 192.168.0.0/16 ）默认全开放，则可以配置上行和下行优先级 100 允许 192.168.0.0/16。

在所有流量进出的时候，会按照优先级由高到低检查数据包，假设匹配到了数据包就不再继续往下匹配。所以大的地址段（例如 0.0.0.0/0 ）放到低优先级，小的地址段（例如 192.168.10.2/32 ）放到高优先级，可以帮助您更好地管理私有网络的安全。