iT邦幫忙

2024 iThome 鐵人賽

DAY 5
0
自我挑戰組

一起來準備 AWS Certified Cloud Practitioner 證照吧!系列 第 5

DAY5-VPC 的 Network Access Control List (NACL) 與 Security Groups

  • 分享至 

  • xImage
  •  

NACL 是什麼?

NACL 讓你可以控制進出 Subnet 的請求。每一個 VPC 都預設一個容許來自所有地方請求的 NACL。每個 Subnet 一定會有一個 NACL,如果在創建 Subnet 時,你沒有選擇 NACL,它會是 VPC 的預設 NACL。每個 Subnet 只能有一個 NACL,設定新的 NACL 時,舊的會直接被替換掉。

接下來,我們看一下預設 NACL 的 Rule 設定,先看 VPC 預設的 NACL Inbound Rule。

Inbound Rule 的 Source 是向我們 Subnet 發送請求的 IP 位址,因此第一條規則允許來自任何地方的請求。

你會注意到,第一條與第二條規則是相悖的。但因爲第二條的 Rule Number 是預設星號,因此,Rule Number 100 的規則會優先於它。

而在 NACL 的 Outbound Rule 中,Destination 是指可以離開 Subnet 的請求位址。

綜合以上的解釋舉例來說,如果你的 Source 和 Destination 設定為 172.31.1.2/32,只有 IP 位址為 172.31.1.2 的電腦才能連接到你 Subnet 的服務。

Security Groups 是什麼?

Security Groups 在目的上一樣是用來控制進出的請求,且在設定頁面也分為 Inbound Rules 與 Outbound Rules,但與 NACL 不一樣的是,他控制的是進出服務的請求,像是 EC2。還有一點與 NACL 不一樣,Security Group 是 stateful,舉例來說,如果你的服務向某個 Outbound Rules 禁止的位址發送請求,回傳的 response 就不會受 Outbound Rules 影響,反之亦然。


上一篇
DAY4-VPC, Subnet, Route Table 與 Internet Gateway
下一篇
DAY6-Route 53
系列文
一起來準備 AWS Certified Cloud Practitioner 證照吧!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言