配置虚拟设备的访问控制

配置访问控制视频

Network Edge用户可以通过应用访问控制列表 (ACL) 模板来控制流向其虚拟设备的流量。ACL 模板是Network Edge的一项服务，它定义了允许特定入站流量进入虚拟设备的规则。ACL 模板不直接应用于虚拟设备，而是应用于连接虚拟设备 WAN/管理接口的网关设备。在应用 ACL 模板之前，虚拟设备允许使用一组特定的端口和协议（包括 DNS、NTP、许可证服务器通信和 SD-WAN 控制器通信）。ACL 模板允许用户为其部署高效地创建一组额外的允许网络通信。一个模板可以应用于多个Network EdgeVNF。应用模板是设备创建过程中的必需步骤。

创建一个ACL模板

1. 登录到Equinix客户门户。

2. 单击“网络边缘”，然后选择“访问管理”。

3. 点击创建新的 ACL 模板。

   

4. 在“基本信息”部分：

   

   • 模板名称 – 输入模板的名称。
   • 模板描述 – 输入模板的简要描述。

5. 使用 DNS 查找工具查找完全限定域名 (FQDN) 的 IP 地址。

   

   • 选择 DNS 解析源都会区位置。具有内容分发网络 (CDN) 子网的 FQDN 可能会根据都会区位置而变化。
   • 在 DNS 查找部分输入 FQDN 并开始搜索。随后将显示已解析的 IP 地址列表。
   • 点击添加规则添加IP地址。

6. 完成创建规则。

   

   • IP 地址子网 – 使用 DNS 查询工具自动填充的结果，或手动输入子网/IP 地址。子网语法为 xxxx/xx。对于单个 IP 地址，请使用 xxxx/32 语法。
   • 协议 – 选择 IP、TCP 或 UDP。
   • 源端口或范围 - 输入源端口或范围。（端口值可以是 10 个以逗号分隔的数字、10 到 20 之间的范围或“任意”值。）
   • 目标端口或范围 - 输入目标端口或范围。（端口值可以是 10 个以逗号分隔的数字、10 到 20 之间的范围或“任意”值。）
   • 描述（可选）- 输入入站规则的描述。（描述最多可包含 200 个字符。）

7. 添加完规则后，点击创建模板。

提示

Equinix建议定义特定的 IP 地址、源子网、源和目标端口/范围，以最大限度地减少任何恶意活动的攻击面。

SSH流量需要被特别允许，以允许用户使用SSH协议远程访问虚拟设备。

ACL 是一个优先级列表。要更改优先级，请点击“描述（可选）”字段旁边的 并拖放项目。

您可以更改预定义模板并将其保存为新的 ACL 模板。在“选择模板”下拉菜单中选择一个模板，然后根据需要编辑“基本详情”和“入站规则”。

搜索ACL模板

当您查看“访问管理”页面时，您会看到所有 ACL 模板的列表。如果您想查找特定模板，请使用搜索字段缩小列表范围。在搜索字段中输入模板名称或 UUID。

在现有设备上应用ACL模板

您的浏览器不支持视频标签。

一个ACL模板可以应用于多个设备。

1. 单击Network Edge并选择虚拟库存。

2. 选择设备。

3. 单击“附加服务”。

4. 在访问管理部分中，单击编辑。

   

5. 在“选择访问控制列表模板”下拉菜单中选择一个模板。

6. 点击更新。

点击“Network Edge” ，然后选择“访问管理”，即可访问您的模板。模板列表会显示每个模板、应用该模板的设备数量、模板的创建日期以及模板创建者。点击特定模板即可查看模板详细信息、入站规则以及应用该模板的具体设备。

从一个设备上删除ACL模板

您的浏览器不支持视频标签。

在设备被配置后，可以从设备上完全删除应用的ACL，将设备与公共网络隔离。要从配置的设备上删除ACL模板。

1. 单击Network Edge并选择虚拟库存。

2. 选择设备。

3. 单击“附加服务”。

4. 在访问管理部分中，单击编辑。

   

5. 点击移除。

   

6. 点击更新。

使用 API 进行访问管理

可以使用网络边缘 API 配置和管理 ACL。有关详细信息，请参阅ACL 模板。