Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Virtual Private Cloud> Guía del usuario> Seguridad> Diferencias entre grupos de seguridad y ACL de red
Actualización más reciente 2023-01-11 GMT+08:00

Diferencias entre grupos de seguridad y ACL de red

Puede configurar grupos de seguridad y ACL de red para aumentar la seguridad de los ECS en su VPC.

  • Los grupos de seguridad operan a nivel de ECS.
  • Se operan las ACL de red a nivel de subred.

Para más detalles, consulte Figura 1.

Figura 1 Grupos de seguridad y ACL de red

Tabla 1 describe las diferencias entre los grupos de seguridad y las ACL de red.

Tabla 1 Diferencias entre grupos de seguridad y ACL de red

Categoría

Grupo de seguridad

ACL de red

Objetivos

Funciona a nivel de ECS.

Funciona a nivel de subred.

Reglas

Admite las reglas Allow y Deny.

Las reglas de denegación solo se admiten en algunas regiones.

Admite las reglas Allow y Deny.

Prioridad

Si hay reglas en conflicto, las reglas tienen efecto en función de la secuencia de su grupo de seguridad al asociarse con un recurso y, a continuación, en función de las prioridades de regla en el grupo.

If rules conflict, the rule with the highest priority takes effect.

Usage

Se aplica automáticamente a los ECS del grupo de seguridad seleccionado durante la creación de ECS. Debe seleccionar un grupo de seguridad al crear ECS.

Se aplica a todos los ECS de las subredes asociadas al ACL de red. No se permite seleccionar una ACL de red durante la creación de la subred. Debe crear una ACL de red, asociar subredes con él, agregar reglas entrantes y salientes y habilitar la ACL de red. La ACL de red luego tiene efecto para las subredes asociadas y los ECS en las subredes.

Paquetes

Solo se admite el filtrado de paquetes basado en la 3-tupla (protocolo, puerto y dirección IP del par).

Sólo filtrado de paquetes basado en la 5-tupla (protocolo, puerto de origen, puerto de destino, dirección IP de origen y dirección IP de destino) es compatible.