use*_*694 1 amazon-web-services amazon-vpc aws-security-group aws-nacl
据我所知,无状态防火墙更多地用于数据包过滤。为什么 AWS NACL 是无状态的?
NACL 强制为临时端口打开的端口范围太大。
除了安全组,还有其他方法可以在 AWS 上创建有状态防火墙吗?安全组感觉过于细化,可能会被错误地忽略。
网络访问控制列表 (ACL) 模仿在硬件路由器上实施的传统防火墙。此类路由器用于分隔子网并允许创建单独的区域,例如DMZ。它们纯粹根据数据包的内容进行过滤。那是他们的工作。
安全组是 AWS 中的一项附加功能,可在资源级别提供类似防火墙的功能。(准确地说,它们附加到弹性网络接口,ENI)。它们是有状态的,这意味着它们允许返回流量流动。
通常,建议将 NACL 保留为默认设置(允许所有流量进出)。只有在特定需要在子网级别阻止某些类型的流量时,才应更改它们。
安全组是控制进出 VPC 附加资源的有状态流量的理想方式。它们是创建有状态防火墙的方法。VPC 不提供其他此类功能。如果您想要不同的东西,您可以通过充当 NAT 的 Amazon EC2 实例路由流量,然后您就可以完全控制它的行为方式。
| 归档时间: |
|
| 查看次数: |
2064 次 |
| 最近记录: |