【发布时间】:2020-12-30 02:59:33
【问题描述】:
我很难找到这些 AWS VPC 选项之间的区别。
【问题讨论】:
-
请在使用英文版 StackOverflow 时用英文写下您的问题。谢谢。
-
感谢您的反馈!
标签: amazon-web-services amazon-vpc
【发布时间】:2020-12-30 02:59:33
【问题描述】:
网络访问控制列表(网络 ACL,或 NACL) 是子网的防火墙。
根据 NACL 规则检查所有进出子网的流量,以确定是否允许流量进出子网。
相同子网内实例之间的流量不通过 NACL,因为流量没有离开子网。
NACL 规则按定义的顺序执行。与流量匹配的第一条规则将确定是允许还是拒绝流量。
通常,NACL 保留其默认值,即允许所有流量。除非您有特殊需要,否则您永远不需要修改 NACL,例如:
- 创建了DMZ
- 阻止特定类型的流量到所有资源(例如阻止 ICMP PING)
- 阻止执行 DDOS 攻击的特定 IP 地址
路由表用于引导流量进出子网。它包含许多 CIDR(IP 地址范围)以及将相应流量引导到何处。
例如:
- Internet (
0.0.0.0/0) 的流量通常是:- 如果路由表与公共子网关联,则发送到 Internet 网关
- 如果路由表与私有子网关联,则发送到 NAT 网关
- 对等 VPC 的流量通过 VPC 对等连接发送
它确实将流量路由到正确的目的地。
想知道是什么让公共子网“公开”?事实上,路由表将 Internet 绑定流量发送到 0.0.0.0/0。
流量被发送到与目的地匹配的最小 CIDR 范围。因此,匹配10.1.0.0/16 的流量将在匹配0.0.0.0/0 的流量之前定向。
【讨论】:
-
“允许/规则”与“指导/指定”是一个很好的区别吗?
-
精彩的解释,非常感谢
这里提供的答案非常详细而且很好。另一种看待这个问题的方式是你的家,你有两个机器人程序/系统,分别称为 Network ACL 和 Route Table。
网络 ACL
- 如果有人来自我的姻亲,拒绝/允许进入
- 如果有人要离开我家,拒绝/允许进入
- 如果我的苏塞克斯朋友在这里,请允许/拒绝进入
- 其他人都被拒绝
路由表
- 想要待在室内的人将使用常规路线
- 想要在后院的人将使用 KITCHEN ROUTE
- 其他人都需要使用主门路线
不同之处在于,如果没有真正进入您的房子,实体/个人无法将自己路由到不同的目的地。因此,您可以定义很多 ROUTE,但没有 NACL,这是违反直觉的。但是,仅使用 NACL,您可以将您的房屋路线过度简化为您自己的路线到您喜欢的任何地方。
我希望这是一个足够好的过度简化:)
【讨论】:
-
这个解释太好了。使用 NACL,我们可以向您的房子声明人 X、Y、Z 允许并拒绝人 A、B、C 拒绝。在路线表中,人 X 到厨房路线,人 Y 到客厅路线。这个对吗 ?如果我们没有在路由表中为人 Z 定义任何内容,会发生什么? Z 可以访问房子里的任何东西吗?
-
他们的关键是了解“Route”和“Access”之间的区别。 NACL 和安全组是关于访问控制、防火墙等的。路由是关于指定路由的。您需要将两者结合起来才能正确完成网络和安全性。此外,Z 是人 (IAM) 而不是网络。
网络 ACL 是用于传入和传出包的无状态防火墙规则,用于过滤网络流量。这用于安全性。
Route Tables 是您的 VPC 和 Internet 之间的路由配置,用于路由网络流量。这用于在具有多个 IP 范围(公共/私有)的网络中进行通信
【讨论】:
理论上,您可以定义多个路由表并根据您想要控制流量的方式将它们换入和换出。但是,在实践中,如果您有一般规则(路由)然后在必要时收紧规则(ACL),它会有所帮助。例如:
- 一般来说,您希望这所房子接受(或重定向)所有穿着绿色衬衫的人。这是通过路由表完成的。
- 但是,根据假日季节,您可能希望收紧这些规则。例如,在圣诞节期间,您只想要也有红色的绿色衬衫。这是使用 ACL 完成的。
因此,您可以根据需要换出 ACL,而无需删除下面的一般规则。 ACL 还允许针对出站和入站流量制定特殊规则,例如,您可以允许某些“人”进入,但禁止他们离开。
【讨论】: