云计算——AWS Solutions Architect – Associate(saa)4.安全组和NACL

安全组一充当虚拟防火墙对于关联实例,在实例级别控制入站和出站流量。

网络访问控制列表(NACL)一充当防火墙关联子网,在子网级别控制入站和出站流量。

在专有网络中,安全组和网络ACL(NACL)一起帮助构建分层网络防御。

安全组在实例级别操作,nacl在子网级别操作。

安全组

  • 安全组(SG):访问控制列表和网络通信规则
  • 基于ip通信五元组规则定义:源端口、目的端口、源ip、目的ip及协议
  • 可分成入站和出站规则
  • 受控的Internet访问
  • 安全组 充当实例的虚拟防火墙以控制入站和出站流量。

在实例级别而不是子网级别操作

  • 子网中的每个实例都可以分配一组不同的安全组
  • 一个实例可以分配5个安全组,每个安全组具有 60条规则
  • 允许对入站和出站流量使用单独的规则
  • 可以只指定允许规则,但不指定拒绝规则。Aws安全组特点 只能指定允许规则,不能指定拒绝规则。阿里云、腾讯云等其他云可以。
  • 可以授予对特定IP、CIDR范围或VPC或对等VPC中的另一个安全组的访问权限(需要VPC对等连接)
  • 是作为一个整体或累积的规则来评估以最宽松的规则为准例如,如果您有一个允许从IP地址203.0.113.1访问TCP端口22(SSH)的规则和另一个允许所有人访问TCP端口22的规则,则最后结果是每个人都可以访问TCP端口22。
  • 安全组是有状态的,因为它们使用连接跟踪来跟踪进出实例的流量信息。例如:安全组设置允许80端口出站,而没有设置入站80端口。信息通过80端口发出又通过80端口返回到服务器,称为 有状态。

重点:

  • 可以指定允许规则,但不可指定拒绝规则。
  • 可以为入站和出站流量指定单独规则。
  • 安全组规则允许您根据协议和端口号筛选流量,
  • 安全组是有状态的 - 如果您从实例发送一个请求,则无论入站安全组规则如何,都将允许该请求的响应流量流入。如果是为响应已允许的入站流量,则该响应可以出站,此时可忽略出站规则。
  • 安全组是立即生效的。安全组 可以在任何时候更改,并且立即生效。

网络访问控制列表NACL

  • 网络ACL(NACL)是VPC的可选安全层,它充当防火墙用于控制进出一个或多个子网的流量。
  • NACL是在子网级别分配的适用于该子网中的所有实例。
  • 入站规则和出站规则各有不同允许或拒绝流量。
  • 默认ACL允许所有入站和出站流量。
  • 新创建的ACL拒绝所有入站和出站流量,
  • 可以关联具有多个子网的网络ACL。
  • 是规则的编号列表按顺序评估从编号最低的规则开始,以确定是否允许流量进出与网络ACL关联的任何子网例如,如果您有一个规则100和110,100为AIow AII,110为Deny Al,则Alow AII优先,所有流量都将被允许。
  • 是无状态的;对允许的入站流量的响应受制于出站流量的规则(反之亦然)例如,如果从特定的IP地址在端口22上启用入站SSH,则还需要为响应添加出站规则。

对比:

|----------------------------|--------------------|
| 安全组 | NACL |
| 在实例级别运行 | 在子网级别上运行 |
| 支持仅允许规则 | 支持允许和拒绝规则 |
| 是有状态的:不论任何规则如何,返回流量都会自动被允许 | 是无状态的:规则必须明确允许返回流量 |
| 在决定是否允许流量之前对所有规则进行评估 | 在决定是否允许通过时按顺序评估的规则 |
| 仅适用于与安全组明确关联的实例 | 自动适用于启动到相关子网中的所有实例 |

相关推荐
QYR-分析11 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
IpdataCloud12 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
JerrySir15 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳15 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
xd18557855516 小时前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙
白帽小阳17 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
qetfw18 小时前
CentOS 7 配置 iptables 防火墙
安全
磐链科技18 小时前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
胖胖雕19 小时前
利用阿里云与docker部署Certimate
阿里云·docker·云计算
数据知道20 小时前
HTTP/HTTPS 安全深度剖析:抓包、解密与证书陷阱
安全·http·https·mitmproxy·抓包解密