我正在尝试制作一个有3台服务器的VPC,并启用VPC内部的所有流量和到外部特定IP地址的流量——一个工作站。我还想阻止其他交通。我很难理解VPC中的安全逻辑:如果我在ACL级别上阻止所有流量,并在安全组级别上只允许我想要的流量,这会起作用吗?基本上,我想了解的是如何管理子网外的发带流量?
这两个服务协同工作,它们不充当OR条件。
安全组
安全组在主机级别进行评估,默认情况下,除非明确允许,否则所有流量都会被阻止。通过ENI的任何交互都将根据安全组进行评估。
NACL
另一方面,NACL在子网级别进行评估。流量在进入(或离开(子网时进行评估。事实上,如果两个实例位于同一子网中并且私下通信,则永远不会评估NACL。
NACL的规则按从低到高的顺序进行评估,同时支持DENY和ALLOW。
如果您在NACL级别阻止所有通信,那么将只支持同一子网上具有与安全组中匹配的入站/出站规则的实例之间的通信。