网络 ACL 基础知识
以下是您需要了解的有关网络 ACL 的基本信息:
-
您的 VPC 自动带有可修改的默认网络 ACL。默认情况下,它允许所有入站和出站 IPv4 流量以及 IPv6 流量(如果适用)。
-
您可以创建自定义网络 ACL 并将其与子网相关联,以允许或拒绝子网级别的特定入站或出站流量。
-
您的 VPC 中的每个子网都必须与一个网络 ACL 相关联。如果您没有明确地将子网与网络 ACL 相关联,则子网将自动与默认网络 ACL 关联。
-
您可以将网络 ACL 与多个子网关联。但是,一个子网一次只能与一个网络 ACL 关联。当您将一个网络 ACL 与一个子网关联时,将删除之前的关联。
-
网络 ACL 具有入站规则和出站规则。每条规则都可以接受或拒绝流量。每条规则都有介于 1 到 32766 之间的数字。在决定是否接受或拒绝流量时,我们按顺序评估规则,从编号最低的规则开始。如果流量与规则匹配,则应用该规则,并且我们不会评估其他任何规则。我们建议您首先以增量方式创建规则(例如,以 10 或 100 的增量增加),以便日后需要时插入新的规则。
-
在流量进入和离开子网时,我们会评估网络 ACL 规则,而不是在子网内路由流量时进行评估。
-
NACL 无状态,这意味着不会保存有关先前发送或接收的流量的信息。例如,如果您创建了 NACL 规则,允许流向子网的特定入站流量,则不会自动允许对该流量做出响应。这与安全组的工作原理截然不同。安全组有状态,这意味着会保存有关先前发送或接收的流量的信息。例如,如果安全组允许流向 EC2 实例的入站流量,则将自动允许响应,不受任何出站安全组规则的影响。
-
网络 ACL 无法阻止发往或来自 Route 53 Resolver 的 DNS 请求(也称为 VPC+2 IP 地址或 AmazonProvidedDNS)。要筛选通过 Route 53 Resolver 的 DNS 请求,请根据《Amazon Route 53 开发人员指南》中的说明,启用 Route 53 Resolver DNS Firewall。
-
网络 ACL 无法阻止访问实例元数据服务(IMDS)的流量。要管理对 IMDS 的访问权限,请参阅《Amazon EC2 用户指南》中的 配置实例元数据选项。
-
网络 ACL 不会筛选发往和来自以下位置的流量:
-
Amazon 域名服务 (DNS)
-
Amazon 动态主机配置协议 (DHCP)
-
Amazon EC2 实例元数据
-
Amazon ECS 任务元数据端点
-
Windows 实例的许可证激活
-
Amazon Time Sync Service
-
默认 VPC 路由器使用的预留 IP 地址
-
-
对每个 VPC 的网络 ACL 数和每个网络 ACL 的规则数设定了限额(也称作限制)。有关更多信息,请参阅 Amazon VPC 配额。