AWS Network Access Control Lists (NACLs)

概述

AWS Network Access Control Lists (NACLs) 是一种网络级别的防火墙，用于在Amazon Virtual Private Cloud (VPC) 环境中控制入站和出站流量。NACLs允许您定义规则，以允许或拒绝特定协议、端口或IP地址范围的流量。

基本原理

• NACLs是在子网级别进行配置的，每个子网都与一个NACL相关联。
• NACL由一组有序的规则构成，每个规则都包含一个允许或拒绝特定流量的条件。
• NACL规则根据顺序逐一应用，优先匹配第一个符合条件的规则，然后根据该规则的操作（允许或拒绝）执行相应的动作。

特点和用途

• NACLs可控制入站和出站流量，通过定义规则以限制特定的网络流量。
• 它是在子网级别而非实例级别应用的，可以对子网中的所有实例应用相同的规则。
• 每个子网只能与一个NACL相关联，但一个NACL可以与多个子网关联。
• NACL规则是有序的，您可以根据需要在规则列表中插入、更新或删除规则。
• 它在网络流量过滤方面具有较低的延迟，因为它是在内核级别进行处理的。

规则和ACL号码

• NACL规则由一个序号（ACL号码）和一个规则内容组成。
• 序号用于控制规则的执行顺序，数字越小的规则越先被应用。
• 每个NACL默认包含两条隐式规则：
  • 第一条规则对所有IPv4和IPv6流量允许作用于子网中的资源。
  • 第二条规则对所有IPv4和IPv6流量拒绝作用于子网中的资源。

下面是一个NACL规则的示例：

Inbound Rules:
Rule | Protocol | Port Range | Source | Allow/Deny
-----|----------|------------|--------|-----------
100  | TCP      | 22         | 0.0.0.0/0 | ALLOW
110  | TCP      | 80         | 10.0.0.0/16 | ALLOW
120  | ALL      | ALL        | 0.0.0.0/0     | DENY

Outbound Rules:
Rule | Protocol | Port Range | Destination | Allow/Deny
-----|----------|------------|-------------|-----------
100  | TCP      | 443        | 0.0.0.0/0   | ALLOW
110  | ALL      | ALL        | 0.0.0.0/0   | DENY

以上示例中，入站规则允许TCP端口22从任何来源IP访问，允许TCP端口80来自10.0.0.0/16子网的任何主机访问。拒绝所有其他入站流量。出站规则允许TCP端口443访问任何目标IP，而拒绝所有其他出站流量。

总结

AWS NACLs是一种基于子网级别的网络防火墙，用于在VPC中控制流量的入站和出站。您可以定义规则，根据源IP、目标IP、协议和端口范围来允许或拒绝特定的流量。NACL规则是有序的，按顺序应用，并且支持允许和拒绝操作。NACLs是增加网络安全性的重要一环，助力开发人员保护他们的应用程序和数据。