網路ACL基本概念 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

網路ACL基本概念

以下是您需要了解的網路 ACLs 的基本事項:

  • 您的 VPC 會自動隨附可修改的預設網路 ACL。根據預設,它允許所有傳入和傳出的 IPv4 流量,以及適用的 IPv6 流量。

  • 您可以建立自訂網路 ACL,並將其與子網路建立關聯,以允許或拒絕子網路層級的特定傳入或傳出流量。

  • 您 VPC 中的每個子網路都必須與網路 ACL 建立關聯。如果您沒有明確地將子網路與網路 ACL 建立關聯,子網路會自動與預設網路 ACL 建立關聯。

  • 您可以將網路 ACL 與多個子網路建立關聯。不過,子網路一次只能與一個網路 ACL 建立關聯。當您將網路 ACL 與子網路建立關聯時,會移除先前的關聯。

  • 網路 ACL 具有傳入規則和傳出規則。每個規則都可以允許或拒絕流量。每個規則都有一個從 1 至 32766 的數字。在決定是允許還是拒絕流量時,我們會依序評估規則,從編號最低的規則開始。如果流量符合規則,則會套用規則,我們不會評估任何其他規則。我們建議您先以增量方式建立規則 (例如 10 或 100 的增量),以便稍後可在需要時插入新規則。

  • 當流量進入和離開子網路時,我們會評估網路 ACL 規則,而不是因為它是在子網路內路由。

  • NACLs是無狀態的,這表示不會儲存先前傳送或接收流量的相關資訊。例如,如果您建立 NACL 規則以允許特定的傳入流量到子網路,則不會自動允許對該流量的回應。這與安全群組的工作方式相反。安全群組為無狀態,這表示會儲存有關先前傳送或接收的流量資訊。例如,如果安全群組允許 EC2 執行個體的傳入流量,則無論傳出安全群組規則為何,都會自動允許回應。

  • 網路 DNSACLs 無法封鎖往返 Route 53 Resolver (也稱為 VPC+2 IP 地址或WordDNS) 的 AmazonProvided 請求。若要透過 Route 53 Resolver 篩選 DNS 請求,您可以在 Amazon Route 53 開發人員指南中啟用 Route 53 Resolver DNS Firewall。

  • Network ACLs 無法封鎖執行個體中繼資料服務 (IMDS) 的流量。若要管理對 IMDS 的存取,請參閱 Amazon EC2 使用者指南中的設定執行個體中繼資料選項

  • Network ACLs 不會篩選目的地為 和來自下列內容的流量:

    • Amazon Domain Name Services (DNS)

    • Amazon 動態主機組態通訊協定 (DHCP)

    • Amazon EC2 執行個體中繼資料

    • Amazon ECS 任務中繼資料端點

    • Windows 執行個體的授權啟動

    • Amazon Time Sync Service

    • 預設 VPC 路由器使用的預留 IP 地址

  • 每個 ACLs 的網路 Word 數目和每個網路 VPC 的規則數目有配額 (也稱為限制)ACL。如需詳細資訊,請參閱Amazon VPC 配額