我是AWS和网络的新手。我一直在玩网络ACL。我意识到如果我不允许网络ACL上的出站端口443(HTTPS),我将无法使用浏览器从EC2实例中转到https://www.google.com 在与此ACL关联的子网中。
同样,如果我不允许出站端口80,我将无法转到http://www.cnn.com。
这让我很困惑。当我在ACL上允许端口80出站时,我是否允许EC2在CNN服务器上与EC2上的短暂端口通话到端口80 ,或者我是否允许EC2发起连接EC2上的来自端口80 ?答案 0 :(得分:2)
您不必添加任何规则。默认网络ACL配置为允许所有流量流入和流出与其关联的子网。每个网络ACL还包括规则编号为星号的规则。此规则可确保如果数据包与任何其他编号规则不匹配,则会被拒绝。您无法修改或删除此规则。
规则允许所有IPv6流量流入和流出子网。我们还添加规则编号为星号(Catch All)的规则,以确保如果数据包与任何其他已定义的编号规则不匹配,则会拒绝数据包。
网络ACL具有单独的入站和出站规则(无状态),并且每个规则可以允许或拒绝流量。
Out Bound Rules允许从子网到Internet的出站流量。换句话说,匹配流量与ACL列表中的已定义的规则并应用它(允许/拒绝)。
如果您的互联网上的公共用户无法访问私有实例,那么从安全的角度来看,最好将这些实例放在私有子网中,并在<中使用NAT实例strong>公共子网并使所有流量通过此NAT实例进行修补程序更新并获取公共访问权限。
有关详情,请查看Amazon Docs
答案 1 :(得分:2)
使用实例级别的安全组在实例级别具有安全性。与安全组不同,ACL是无状态的并且在子网级别工作,即如果您希望您的实例通过端口80(http)进行通信,那么您已添加入站和允许端口80的出站规则。