Amazon ACL
AWS网络架构

子网
子网是 VPC 的一部分,可以在其中根据安全性或操作需求对资源进行分组。子网可以是公有子网,也可以是私有子网。
公有子网包含需要能够公开访问的资源,例如在线商店的网站。
私有子网包含只能通过私有网络访问的资源,例如包含客户个人信息和订单历史记录的数据库。
在 VPC 中,子网可以相互通信。例如,可能有一个应用程序,该应用程序包含位于公有子网中的 Amazon EC2 实例,该实例与位于私有子网中的数据库通信。
Access Control List
网络 ACL 是一种虚拟防火墙,用于在子网级别控制入站和出站流量。

每个 AWS 账户都包含一个默认网络 ACL。配置 VPC 时,您可以使用账户的默认网络 ACL,也可以创建自定义网络 ACL。
默认情况下,默认网络 ACL 允许所有入站和出站流量,但可以通过添加自己的规则对其进行修改。自定义网络 ACL 会拒绝所有入站和出站流量,除非添加规则,指定允许哪些流量。此外,所有网络 ACL 都具有显式拒绝规则。该规则可以确保拒绝不符合列表中的任何其他规则的数据包。
无状态数据包筛选
ACL是无状态的,无论数据包是入站还是出站,都会通过进行检查
安全组
安全组是一个虚拟防火墙,可控制 Amazon EC2 实例的入站和出站流量。
默认情况下,安全组拒绝所有入站流量并允许所有出站流量
数据包通过ACL的检查,进入子网后,系统必须评估其对子网内的资源(例如 Amazon EC2 实例)拥有的权限。
检查数据包对 Amazon EC2 实例拥有的权限的 VPC 组件是安全组(opens in a new tab)。
有状态数据包筛选
安全组是有状态的,当该请求的数据包响应返回实例时,安全组会记得之前的请求。安全组会允许响应进入,而不考虑入站安全组规则。
Amazon ACL
https://leopol1d.github.io/2024/01/09/Amazon-ACL/