📜  Amazon Web Services – 安全组与 NACL

📅  最后修改于: 2022-05-13 01:57:46.543000             🧑  作者: Mango

Amazon Web Services – 安全组与 NACL

安全组和 NACL 都充当虚拟防火墙,控制来自入站和出站的流量。在本文中,我们将讨论 Amazon Web Services 上的安全组和 NACL 之间的区别。

安全组:

安全组是 EC2 实例的虚拟盾牌或保护者。除非特别允许 默认情况下,所有入站流量都被阻止,而所有出站流量都允许来自实例。

创建安全组后,我们可以编辑入站和出站规则。这是允许所有协议的所有流量的默认出站规则的示例。

安全组 - 出站

在这里,我们为协议 SSH 添加了入站规则,默认端口为 22,用于我们当前的 IP 地址。

安全组-入站

  • 在安全组中,我们不能阻止特定的 IP 地址,因为它没有任何 DENY 规则,就像 ALLOW 规则一样。为此,我们可以使用 NACL。

安全组限制:

  1. 对于特定的安全组,最大入站和出站规则为 60
  2. 对于任何区域,安全组的默认限制为 2,500,并且可以扩展为 10,000,对于我们必须进行服务请求的任何进一步扩展,最大值为 10,000。

网络访问控制列表(NACL):

网络访问控制列表也是子网的虚拟防火墙,控制子网的入站和出站流量。创建 VPC 后,将关联默认 NACL 并允许所有入站和出站流量。

在 NACL 中,就像安全组一样,它包含一组入站和出站规则,可以允许或拒绝流量进出子网。由于我们可以选择允许或拒绝流量,因此规则的顺序变得很重要,因此 AWS 使用了规则编号的概念。

NACL-入站

NACL-出站

NACL 的限制:

  1. 单个 NACL 中的最大规则可以有 20 条规则。

安全组与 NACL 之间的区别:

下表列出了安全组和 NACL 之间的主要区别:

Security Groups NACL
Firewall or protection of InstancesFirewall or Protection of the Subnet
Security groups are stateful which means any changes  applied to incoming rule is also applied to outgoing rule These are Stateless
It is the first layer of defense or protection. This is the second layer of defense and an additional layer of protection.
All the rules are applied to an Instance.In the case of NACL, the rules are applied in the order of their priority, wherein the priority is indicated by the rule number assigned.
All the rules are evaluated before they allow a Traffic  Rules are evaluated based on their priority