1.安全组:
安全组就像一个虚拟防火墙。它具有入站和出站安全规则, 其中默认情况下在AWS EC2上以私有方式阻止所有入站流量。它不允许使用特定的协议, 没有人可以使用该协议访问我们的实例, 你可以通过默认使用该规则来阻止流量, 所有被拒绝的内容都可以。 EC2实例上有多个安全组。我们不能使用该安全组而是使用网络访问列表来阻止特定IP地址。在其中编辑任何规则的安全组效果更快。
2.网络访问控制列表(网络ACL):
网络ACL是可修改的默认网络。它允许所有入站或出站IPv4通信, 在这里我们创建一种类型的自定义网络全部或每个自定义网络ACL拒绝所有入站和出站通信。此网络是无状态且独立的入站和出站规则, 两个规则的默认限制为20, 并从编号最小的规则开始。 VPC中的所有子网必须与网络ACL组合在一起, 一次只能一个子网-一个网络ACL。它支持规则和拒绝规则并操作子网级别。
安全组和网络ACL之间的区别:
安全组 | 网络访问控制列表 |
---|---|
在安全组中, 我们在实例级别运行。 | 在网络ACL中, 我们运行子网级别。 |
它仅支持允许规则。 | 它支持允许规则和拒绝规则。 |
当我们创建入站或出站规则时, 它是有状态的。 | 它是无状态的, 必须明确允许返回流量。 |
我们可以使用SG阻止特定的IP地址。 | 我们可以使用NACL阻止特定的IP地址。 |
在决定允许流量之前, 先评估所有规则。 | 决定单口允许流量时, 规则以数字顺序处理。 |
它从实例启动配置开始。 | 我们在其中为所有实例分配了子网。 |
当有人在启动实例时指定安全组并且与安全组相关联时, 它适用。 | 它们不依赖于用户, 它会自动将所有实例应用于子网。 |