📜  AWS 中安全组和网络 ACL 的区别

📅  最后修改于: 2021-09-11 06:16:24             🧑  作者: Mango

1. 安全组:
安全组就像一个虚拟防火墙。它具有入站和出站安全规则,默认情况下,所有入站流量都在 AWS EC2 上被私下阻止。它不允许特定的协议,没有人能够使用此协议访问我们的实例,您可以通过使用该规则来阻止流量,默认情况下,所有被拒绝的内容。 EC2 实例上有多个不同的安全组。我们无法使用该安全组阻止特定 IP 地址,而是使用网络访问列表。我们在其中编辑任何规则一个具有更快效果的安全组。

2.网络访问控制列表(网络ACL):
网络 ACL 是可修改的默认网络。它允许所有入站或出站 IPv4 流量,在这里我们创建一种自定义网络类型,所有或每个自定义网络 ACL 拒绝所有入站和出站流量。此网络是无状态且独立的入站和出站规则,两个规则的默认限制均为 20,并从编号最低的规则开始。其中 VPC 中的所有子网都必须与网络 ACL 结合一个子网 – 一次一个网络 ACL。它支持规则和拒绝规则并在子网级别进行操作。

安全组和网络 ACL 的区别:

Security Group Network Access Control List
In security group, we operates at instance level. In network ACL, we operate sub net level.
It support only allow rules. It support allow rules and deny rules.
It is stateful, when we create an inbound or an outbond rule. It is stateless, it return traffic must be allowed explicitly.
We can block specific IP address using SGs. We can block specific IP Address using NACL.
All rules are evaluted before deciding to permit trffic. Rules are processed in number order when deciding wheather allow traffic.
It start with instance launch confriguation. In which we assigned to subnet for all instance.
It applies when someone specifies security group when launching the instance and it assoicates with security group. They do not depend on user it automatically apply all instances with subnet.