为什么 AWS NACL 是无状态的？答案

【问题标题】：Why is AWS NACL stateless?为什么 AWS NACL 是无状态的？
【发布时间】：2019-10-14 10:34:10
【问题描述】：

根据我的阅读，无状态防火墙更多地用于数据包过滤。为什么 AWS NACL 是无状态的？

NACL 强制为临时端口打开太大范围的端口。

除了安全组之外，还有其他方法可以在 AWS 上创建状态防火墙吗？安全组感觉过于细化，可能会被错误地忽略。

【问题讨论】：

“感觉过于细化，可能会被误删”是什么意思？如果它们被省略，则流量（默认情况下）将不被允许，并且应该有人注意到这个问题。这比默认允许所有流量安全得多。
细化，我的意思是必须在每个 VM 级别添加权限。在子网级别执行它会更容易。此外，如果在 NACL 上打开了广泛的临时端口范围，VM 进程可能会使用其中一个端口来执行恶意操作。

【解决方案1】：

网络访问控制列表 (ACL) 模仿在硬件路由器上实施的传统防火墙。此类路由器用于分隔子网并允许创建单独的区域，例如DMZ。它们纯粹根据数据包的内容进行过滤。这是他们的工作。

安全组是 AWS 中的一项附加功能，它在资源级别提供类似防火墙的功能。（准确地说，它们连接到弹性网络接口，ENI）。它们是有状态的，这意味着它们允许返回流量流动。

一般来说，建议将 NACL 保留为默认设置（允许所有流量进出）。只有在特定需要在子网级别阻止某些类型的流量时才应更改它们。

安全组是控制进出 VPC 附加资源的有状态流量的理想方式。它们是创建状态防火墙的方法。 VPC 不提供其他此类功能。如果您想要不同的东西，您可以通过充当 NAT 的 Amazon EC2 实例路由流量，然后您可以完全控制它的行为方式。

【讨论】：