1. 安全组:
安全组就像一个虚拟防火墙。它具有入站和出站安全规则,默认情况下,所有入站流量都在 AWS EC2 上被私下阻止。它不允许特定的协议,没有人能够使用此协议访问我们的实例,您可以通过使用该规则来阻止流量,默认情况下,所有被拒绝的内容。 EC2 实例上有多个不同的安全组。我们无法使用该安全组阻止特定 IP 地址,而是使用网络访问列表。我们在其中编辑任何规则一个具有更快效果的安全组。
2.网络访问控制列表(网络ACL):
网络 ACL 是可修改的默认网络。它允许所有入站或出站 IPv4 流量,在这里我们创建一种自定义网络类型,所有或每个自定义网络 ACL 拒绝所有入站和出站流量。此网络是无状态且独立的入站和出站规则,两个规则的默认限制均为 20,并从编号最低的规则开始。其中 VPC 中的所有子网都必须与网络 ACL 结合一个子网 – 一次一个网络 ACL。它支持规则和拒绝规则并在子网级别进行操作。
安全组和网络 ACL 的区别:
| Security Group | Network Access Control List |
|---|---|
| In security group, we operates at instance level. | In network ACL, we operate sub net level. |
| It support only allow rules. | It support allow rules and deny rules. |
| It is stateful, when we create an inbound or an outbond rule. | It is stateless, it return traffic must be allowed explicitly. |
| We can block specific IP address using SGs. | We can block specific IP Address using NACL. |
| All rules are evaluted before deciding to permit trffic. | Rules are processed in number order when deciding wheather allow traffic. |
| It start with instance launch confriguation. | In which we assigned to subnet for all instance. |
| It applies when someone specifies security group when launching the instance and it assoicates with security group. | They do not depend on user it automatically apply all instances with subnet. |