简介:TG@luotuoemo
本文由阿里云代理商【聚搜云】撰写
1. 作用范围
- 网络ACL:作用于子网级别,对整个子网的流量进行控制。这意味着子网内的所有实例都受到网络ACL规则的约束,提供了一个更广泛的防护层。
- 安全组:作用于实例级别,针对每个具体实例的流量进行控制。安全组规则仅适用于被关联的实例,允许对不同实例进行精细化的访问控制。
2. 规则特性
- 网络ACL:支持允许规则和拒绝规则,能够明确指定哪些流量被允许,哪些流量被拒绝。规则是按照顺序逐条应用的,一旦匹配到一条规则,就会停止进一步检查。
- 安全组:仅支持允许规则,不支持拒绝规则。所有规则同时生效,系统会根据规则的优先级来决定是否允许或拒绝流量。
3. 状态性
- 网络ACL:是无状态的,返回数据流必须被规则明确允许。这意味着网络ACL不会自动允许与入站请求相关的出站响应流量,需要手动配置规则来放行响应流量。
- 安全组:是有状态的,返回数据流会被自动允许,不受任何规则的影响。这使得安全组在处理响应流量时更加便捷,但相对而言也降低了对返回流量的控制能力。
4. 默认规则
- 网络ACL:默认规则是拒绝所有入站和出站流量,只有当用户明确配置了允许规则后,相应的流量才会被允许。
- 安全组:默认规则通常较为宽松,例如默认允许所有出站流量,这可能导致一些不必要的安全风险。
