Day4: Network Access Control List(NACL) 简介与布建

上一篇我们提到了Security Group(SG)，这一篇我们来讲Network Access Control List(NACL)。

什麽是NACL?
Network Access Control List(NACL)是作用在VPC层级可选用的安全防护选项，可作为防火墙来阻挡进出子网域的流量。

• 您的VPC 自动带有可修改的预设NACL。预设情况下，它允许所有入站和出站 IPv4 流量以及 IPv6 流量。
• 您可以创建自定NACL 并将其与子网路关联。预设情况下，每个自定义NACL 都会拒绝所有入站和出站流量，直到您添加规则。
• 您的 VPC 中的每个子网路都必须与一个NACL 相关联。如果您没有明确地将子网路NACL 相关联，子网路将自动与预设NACL 相关联。
• 您可以将一个NACL 与多个子网路关联。但是，一个子网路一次只能与一个NACL 相关联。 当您将NACL 与子网路关联时，先前的关联将被删除。
• NACL 具有单独的入站和出站规则，每个规则可以允许或拒绝流量(SG只能设定允许规则)。
• NACL是无状态(stateless)的，这代表对允许的入站流量的回应受出站流量规则的约束，反之亦然(SG是stateful)。

怎麽布建NACL?
1.找到VPC，在侧边选单Security底下选Network ACLs

2.按Create network ACL

3. Network ACL settings 输入名称，以及选择你要设定的VPC。Tag的部分可做标记，填完之後按Create network ACL

4.回到NACL列表，找到刚刚建立的NACL点进去，你就可以针对In/Outbound rules进行编辑，来去限制那些流量可流入/流出

小结
如果还是搞不清楚SG跟NACL的话，简单来说两者都是控管流量的服务，但SG是作用於Instance上是Stateful且只能设立允许规则，而NACL是作用於VPC是Stateless可设立允许以及拒绝规定。