【发布时间】:2020-08-23 18:39:44
【问题描述】:
是什么原因导致安全组无法拒绝某种类型的流量,而 NACL 却可以?
【问题讨论】:
标签: amazon-web-services amazon-vpc aws-security-group
【发布时间】:2020-08-23 18:39:44
【问题描述】:
我认为主要是出于性能原因。所有规则都在网络接口级别进行验证和应用,这取决于物理主机上的总主机数。通过隐含地拒绝,除非那里有规则,它减少了计算需求。
【讨论】:
除了“因为它就是这样设计的”之外,没有其他“理由”。
默认情况下,安全组拒绝所有内容,匹配任何规则的流量允许该流量通过,因此不需要规则优先级,因为允许/拒绝混合使用。这反过来意味着一个更简单的接口,并且可能是一个更简单和更轻量级的实现,尽管实际原因可能与此无关,而可能只是 NACL 已经提供了此功能。
【讨论】: