網路ACL基本知識

您的 VPC會自動隨附可修改的預設網路 ACL。根據預設，它允許所有傳入和傳出IPv4流量，以及適用的IPv6流量。

您可以建立自訂網路並將其與子網路建立ACL關聯，以允許或拒絕子網路層級的特定傳入或傳出流量。

您的 中的每個子網路VPC都必須與網路 建立關聯ACL。如果您沒有明確地將子網路與網路 建立關聯ACL，子網路會自動與預設網路 建立關聯ACL。

您可以將網路ACL與多個子網路建立關聯。不過，子網路ACL一次只能與一個網路建立關聯。當您將網路ACL與子網路建立關聯時，會移除先前的關聯。

網路ACL具有傳入規則和傳出規則。每個規則都可以允許或拒絕流量。每個規則都有一個從 1 至 32766 的數字。在決定是允許還是拒絕流量時，我們會依序評估規則，從編號最低的規則開始。如果流量符合規則，則會套用規則，我們不會評估任何其他規則。我們建議您先以增量方式建立規則 (例如 10 或 100 的增量)，以便稍後可在需要時插入新規則。

當流量進入和離開子網路時，我們會評估網路ACL規則，而不是因為它在子網路內路由。

NACLs 是無狀態 ，這表示不會儲存先前傳送或接收流量的相關資訊。例如，如果您建立NACL規則以允許特定的傳入流量到子網路，則不會自動允許對該流量的回應。這與安全群組的工作方式相反。安全群組為無狀態，這表示會儲存有關先前傳送或接收的流量資訊。例如，如果安全群組允許傳入執行個體的流量EC2，則無論傳出安全群組規則為何，都會自動允許回應。

網路ACLs無法封鎖來自 Route 53 Resolver （也稱為 VPC+2 IP 地址或 AmazonProvidedDNS） 的DNS請求。若要透過 Route 53 Resolver 篩選DNS請求，您可以在 Amazon Route 53 開發人員指南 中啟用 Route 53 Resolver DNS防火牆。

網路ACLs無法封鎖執行個體中繼資料服務的流量 （IMDS）。若要管理對 的存取IMDS，請參閱 Amazon EC2使用者指南 中的設定執行個體中繼資料選項。

網路ACLs不會篩選目的地為 的流量，以及來自下列內容的流量：

ACLs 每個網路的數量VPC和每個網路的規則數量都有配額 （也稱為限制）ACL。如需詳細資訊，請參閱Amazon VPC 配額。