本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络 ACL 如何与中转网关配合使用
网络访问控制列表 (NACL) 提供了一层可选的安全性。
根据场景,应用网络访问控制列表 (NACL) 规则的方式会有所不同:
为 EC2 实例和中转网关关联使用同一子网
考虑在同一子网中拥有 EC2 实例和中转网关关联的配置。将同一网络 ACL 用于从 EC2 实例指向中转网关的流量,以及从中转网关指向实例的流量。
对于从实例指向中转网关的流量,按以下方式应用 NACL 规则:
-
出站规则使用目标 IP 地址进行评估。
-
入站规则使用源 IP 地址进行评估。
对于从中转网关指向实例的流量,按以下方式应用 NACL 规则:
-
不评估出站规则。
-
不评估入站规则。
为 EC2 实例和中转网关关联使用不同的子网
考虑下面的配置:为您的 EC2 实例使用一个子网,为中转网关关联使用另一个子网,同时每个子网都与不同的网络 ACL 关联。
对 EC2 实例所在的子网,按以下方式应用网络 ACL 规则:
-
出站规则使用目标 IP 地址来评估从实例指向中转网关的流量。
-
入站规则使用源 IP 地址来评估从中转网关指向实例的流量。
对于中转网关所在的子网,按以下方式应用网络 ACL 规则:
-
出站规则使用目标 IP 地址来评估从中转网关指向实例的流量。
-
出站规则不用来评估从实例指向中转网关的流量。
-
入站规则使用源 IP 地址来评估从实例指向中转网关的流量。
-
入站规则不用来评估从中转网关指向实例的流量。
最佳实践
为每个中转网关 VPC 附件使用单独的子网。对于每个子网,请使用小型 CIDR(例如 /28),以便您有更多地址用于 EC2 资源。当您使用单独的子网时,您可以配置以下内容:
-
将与中转网关子网关联的入站和出站 NACL 保持打开状态。
-
根据流量,您可以将 NACL 应用于工作负载子网。
有关 VPC 挂载工作原理的更多信息,请参阅 资源连接。