那些遇到过的问题

NAT 网关和阻止入站流量的 ACL 之间有什么区别

Far*_*rad 8 amazon-web-services amazon-vpc

我阅读了有关 aws VPC 的内容,并尝试寻找使用 NAT 的任何意义。如果我理解正确的话,当我们拥有具有两个子网(公共子网和私有子网)的 VPC 时,就会使用 NAT。如果我们想允许私有子网向全球网络发出请求(例如软件更新),但阻止所有入站流量 - 我们可以在公共子网中设置 NAT 并将该 NAT 与私有子网连接。

在此输入图像描述

但同时我们可以为私有子网创建 ACL 并阻止所有入站流量。因此,如果需要,它将能够下载软件更新。

那么,如果以上都是正确的,为什么我们需要 NAT?

Joh*_*ein 7

网络访问控制列表 (NACL) 是无状态的。这意味着规则是双向执行的。因此,在您的场景中,两个方向的流量都会被阻塞。

一般来说,不需要使用 NACL。有一些适当的用途(例如创建 DMZ),但这些用途很少。

如果您愿意,您可以将所有内容放在公共子网中,并简单地使用安全组来控制访问。这会很有效,因为入站和出站规则可以单独配置。然而,许多人喜欢私有子网的传统概念,以增加安全感。

  • @ficuscr 这是正确的。NACL 代表在子网之间的物理路由器上完成的传统网络。虚拟网络的好处是,现在_每个资源都可以拥有自己的防火墙_(作为安全组),从而提供更好的控制和安全性。 (2认同)

归档时间:

查看次数:

2712 次

最近记录:

5 年,10 月 前
相关归档
如何将Cognito用户的密码设置为admin? 13
如何将Amazon Redshift连接到python 9
无法连接到Amazon Web服务mysql实例 7
IE 11未在API调用中传递Authorization标头 7
标准错误中发送的 Nginx 错误 FastCGI:“对脚本 [文件夹] 的访问已被拒绝(请参阅 security.limit_extensions)” 6
如何在Amazon SES SendRawEmail中添加抄送和密件抄送? 6
INSERT INTO table SELECT Redshift 超慢 6
允许VPC中的Lambda访问同一VPC中的Elasticsearch域 6
Disable health-check logging in AWS ELB Django Application 6
AWS (GovCloud) Lambda 目标未触发 5
难疑归档
什么是正确的JSON内容类型? 9962
关闭/隐藏Android软键盘 3641
如何从SQL Server中的SELECT更新? 3546
外部"C"在C++中有什么影响? 1511
如何在Javascript中的数组开头添加新的数组元素? 1476
显示屏上的转换:属性 1322
Git diff对付藏匿处 1265
在Python中使用大写字母和数字生成随机字符串 1247
如何在Vim中移动到行尾? 1140
我必须在何处以及为何要使用"模板"和"typename"关键字? 1061