目录

1. Network ACLs概述

2. Security group和Network ACLs的区别

3. ACL实践测试

3.1 默认网络ACL

3.2 ACL显式拒绝

3.3 自定义ACL

1. Network ACLs概述

网络访问控制列表 (ACL) 是 VPC 的一个可选安全层,可用作防火墙来控制进出一个或多个子网的流量。

  1. ACLs是无状态的,这意味着允许入站流量的响应、返回的数据流都必须被出站、入站规则明确允许。
  2. VPC中的每个子网都必须与一个网络ACL相关联。如果没有明确地将子网与网络ACL相关联,则子网将自动与默认网络ACL关联。默认网络ACL的内容为允许所有入站和出站的流量, 也就是允许所有流量流进和流出与其关联的子网。
  3. 可以创建自定义网络 ACL 并将其与子网相关联。但要注意的是,默认情况下,每个自定义网络 ACL 都拒绝所有入站和出站流量,直至添加规则。

2. Security group和Network ACLs的区别

  1. 安全组在实例级别运行,网络ACL在子网级别运行。加入子网1关联了一个网络ACL,而这个子网1中可能有数百台EC2实例,那么对于这个网络ACL规则的调整,是会影响关联的子网1中所有的EC2实例。
  2. 安全组仅支持配置允许规则,在安全组无法配置拒绝规则。例如配置显式拒绝某个IP地址访问EC2实例,这个安全组做不到;而ACL支持允许规则和拒绝规则。
  3. 安全组是有状态的,返回的数据流会被自动允许,而ACL是无状态的,返回数据流必须被规则明确允许,就是说使用ACL配置了允许进站的规则必须要有相应允许出站的规则。
  4. 安全组会在决定是否允许数据流前评估所有规则,ACL会按照规则的数字,顺序处理所有规则。
  5. 安全组只有在与实例关联的情况下,规则才会被应用到实例,而ACL自动应用于与之关联的子网的所有实例。

3. ACL实践测试

3.1 默认网络ACL

1) 从EC2的安全这里找到安全组。

2) 确保有这个ICMP协议的入站规则。

3) 然后就可以在本地ping这台EC2了。

3.2 ACL显式拒绝

1) 拒绝所有入站流量。

从EC2的联网这里找到VPC ID,直接进去ACL添加一条规则。

 添加编号90的规则,然后就会ping就会被拒绝。

2) 拒绝特定IP

假设我本地ip是223.73.206.52,然后设定为ACL的源,那么ping也会失败。

但当我们用除了这个ip的其他ip就可以ping了。

3.3 自定义ACL

创建了自定义ACL,默认的情况下,自定义的ACL是拒绝所有入站和出站流量的,直到添加相应的规则。

1) 添加自定义ACL(test-acl),并且绑定到子网。

2) 选中并关联原本的子网ID,EC2的子网ID可以在这里找到。

值得注意的是,这里test-acl关联这个子网,原来的acl就会被解绑。

3) 绑定之后是ping不通的。

4) 添加入站和出站的ICMP规则之后就可以了。

 

关于Network ACLs的理解相关推荐

  1. 【陈工笔记】SNN(Spiking Neural Network)的理解

    (不足之处较多,望包涵.用于自学,帮助理解.) 1.LIFNode在网络架构中的简单应用例子 # 定义并初始化网络net = nn.Sequential(nn.Flatten(),nn.Linear( ...

  2. 行为者网络理论(ANT,Actor Network Theory):一切皆是映射

    问题模型 关键词:关系思维,过程思维 在计算机软件的世界里,一切都是虚拟的.一切皆是映射关系的存在.无论 OOP.FP. 在现实世界里,是不是也是这样?现实世界真的存在吗?为何人生如梦? 物质符号网络 ...

  3. 【论文笔记】Multi-modal Knowledge-aware Event Memory Network forSocial Media Rumor Detection

    论文标题:Multi-modal Knowledge-aware Event Memory Network forSocial Media Rumor Detection 论文链接:https://s ...

  4. 虚拟私有云网络VPC

    虚拟私有云网络VPC 1 VPC基础 2 AWS默认VPC 3 用户创建的VPC 4 NAT实例 5 NAT网关 6 NACL网络访问控制列表 7 在VPC中使用DNS域名解析 8 对等互联peeri ...

  5. Oracle 11.2.0.1 升级到 11.2.0.3 示例

    Oracle 11.2.0.1 单实例升级到11.2.0.3. Oracle 升级的步骤都差不多. 先升级Oracle software,然后升级Oracle instance. Oracle 11. ...

  6. 博后招募 | 清华大学电子系姚权铭教授招聘机器学习方向博士后

    合适的工作难找?最新的招聘信息也不知道? AI 求职为大家精选人工智能领域最新鲜的招聘信息,助你先人一步投递,快人一步入职! 清华大学 清华大学电子系机器学习课题组拟招聘博士后,课题组负责人为姚权铭博 ...

  7. 谈谈高并发系统的限流

    开涛大神在博客中说过:在开发高并发系统时有三把利器用来保护系统:缓存.降级和限流.本文结合作者的一些经验介绍限流的相关概念.算法和常规的实现方式. 缓存 缓存比较好理解,在大型高并发系统中,如果没有缓 ...

  8. 慌了,居然被问到怎么做高并发系统的限流

    点击上方"朱小厮的博客",选择"设为星标" 后台回复"加群"加入公众号专属技术群 来源:uee.me/cDuRD 在开发高并发系统时有三把利 ...

  9. 【theano-windows】学习笔记十九——循环神经网络

    前言 前面已经介绍了RBM和CNN了,就剩最后一个RNN了,抽了一天时间简单看了一下原理,但是没细推RNN的参数更新算法BPTT,全名是Backpropagation Through Time. [注 ...

最新文章

  1. 初试linux编译(ubuntu+vim)+玩转智能蛇
  2. 英特尔紧急召回SB主板,Intel 6系列芯片组设计缺陷
  3. MySQL探秘(二):SQL语句执行过程详解
  4. 数据结构与算法--5.Python实现十大排序算法
  5. 成都Uber优步司机奖励政策(3月17日)
  6. 推荐引擎内部的秘密3
  7. 二叉树遍历代码_二叉树的题,就那几个框架,枯燥至极
  8. 我是如何学会不再担心和喜欢SQL中的NULL的
  9. linux虚拟文件系统(五)-文件打开操作分析
  10. 第四节:EasyUI的一些操作
  11. 搭建MQTT服务器实现Android客户端与ESP8266之间即时通信
  12. AspUpload组件的安装及使用方法介绍
  13. Linux 定时执行任务
  14. 新版悟能口罩预约小程序源码V1.1.1
  15. 【FFMPEG】解决截取MP4视频的中间段时,截取完成后前几帧视频卡住,但是有声音的情况
  16. 信号灯管理服务器CPU型号,正文-新华三集团-H3C
  17. 浅析肖特基二极管与开关二极管的不同之处
  18. 该选国企,外企还是私企?
  19. python抓取屏幕
  20. 马屁股和航天飞机有关系吗?

热门文章

  1. SSM框架中 出现的406 (Not Acceptable)
  2. ubuntu 配置登录失败次数限制
  3. better-scroll内pullingUp无效(控制台报错)
  4. 犹他大学支付45万美元赎金以阻止被盗数据泄露
  5. 25个带有酷炫动画的创意404错误页面,快给你的网站换上吧(持续更新)
  6. 2021年6月PMP考试50天备考5A通过经历心得分享
  7. ffmpeg源码简析(十)libswscale中的SwsContext,sws_scale()
  8. 面试题:重写equals方法为什么通常会重写hashcode方法?
  9. python乘法符号手写_利用Python自动生成小学生加减乘除口算考试题卷,不再为手写算术题烦恼!...
  10. 什么是散列表(Hash Table)