iT邦幫忙

2021 iThome 鐵人賽

DAY 4
0
Security

你用雲端,還敢談資安?AWS資安服務佈署之路系列 第 4

Day4: Network Access Control List(NACL) 簡介與佈建

上一篇我們提到了Security Group(SG),這一篇我們來講Network Access Control List(NACL)。

什麼是NACL?
Network Access Control List(NACL)是作用在VPC層級可選用的安全防護選項,可作為防火牆來阻擋進出子網域的流量。

  • 您的VPC 自動帶有可修改的預設NACL。預設情況下,它允許所有入站和出站 IPv4 流量以及 IPv6 流量。
  • 您可以創建自定NACL 並將其與子網路關聯。預設情況下,每個自定義NACL 都會拒絕所有入站和出站流量,直到您添加規則。
  • 您的 VPC 中的每個子網路都必須與一個NACL 相關聯。如果您沒有明確地將子網路NACL 相關聯,子網路將自動與預設NACL 相關聯。
  • 您可以將一個NACL 與多個子網路關聯。但是,一個子網路一次只能與一個NACL 相關聯。 當您將NACL 與子網路關聯時,先前的關聯將被刪除。
  • NACL 具有單獨的入站和出站規則,每個規則可以允許或拒絕流量(SG只能設定允許規則)。
  • NACL是無狀態(stateless)的,這代表對允許的入站流量的回應受出站流量規則的約束,反之亦然(SG是stateful)。

怎麼佈建NACL?
1.找到VPC,在側邊選單Security底下選Network ACLs
https://ithelp.ithome.com.tw/upload/images/20210916/20124610Z4SC2pMuCF.png
2.按Create network ACL
https://ithelp.ithome.com.tw/upload/images/20210916/201246104ER9Nbil2S.png
3. Network ACL settings 輸入名稱,以及選擇你要設定的VPC。Tag的部分可做標記,填完之後按Create network ACL
https://ithelp.ithome.com.tw/upload/images/20210916/20124610xi2k0U8esH.png
https://ithelp.ithome.com.tw/upload/images/20210916/20124610hCmGZ8nl9c.png

4.回到NACL列表,找到剛剛建立的NACL點進去,你就可以針對In/Outbound rules進行編輯,來去限制那些流量可流入/流出
https://ithelp.ithome.com.tw/upload/images/20210916/20124610Fn5BPXqzcH.png

小結
如果還是搞不清楚SG跟NACL的話,簡單來說兩者都是控管流量的服務,但SG是作用於Instance上是Stateful且只能設立允許規則,而NACL是作用於VPC是Stateless可設立允許以及拒絕規定。


上一篇
Day3:Security Group 簡介與佈建
下一篇
Day 5: AWS上的NIST資安五大面向
系列文
你用雲端,還敢談資安?AWS資安服務佈署之路30

尚未有邦友留言

立即登入留言