更新时间:2024-04-18 GMT+08:00
VPC访问控制概述
虚拟私有云VPC是您在云上的私有网络,通过配置安全组和网络ACL策略,可以保障VPC内部署的实例安全运行,比如弹性云服务器、数据库、云容器等。
- 安全组对实例进行防护,将实例加入安全组内后,该实例将会受到安全组的保护。
- 网络ACL对整个子网进行防护,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。相比安全组,网络ACL的防护范围更大。
安全组和网络ACL的应用示例如图1所示。本示例中,安全组A和安全组B可以保护其中ECS的网络安全,通过网络ACL A和网络ACL B,可以分别保护整个子网1和子网2的安全,双层防护提升安全保障。
安全组与网络ACL的区别说明
表1为您提供了安全组和网络ACL的详细区别。
|
对比项 |
安全组 |
网络ACL |
|---|---|---|
|
防护范围 |
实例级别:防护安全组内的实例,比如弹性云服务器、数据库、云容器实例等。 |
子网级别:防护整个子网,子网内的所有实例都会受到网络ACL的保护。 |
|
是否必选 |
必选,实例必须至少加入到一个安全组内。 |
非必选,您可以根据业务需求选择是否为子网关联网络ACL。 |
|
配置策略 |
不支持允许、拒绝策略。 |
支持允许、拒绝策略。 |
|
规则生效顺序 |
多个规则冲突,取其并集生效。 |
多个规则冲突,优先级高的规则生效,优先级低的不生效。 |
|
应用操作 |
|
创建子网没有网络ACL选项,需要先创建网络ACL,添加出入规则,并在网络ACL内关联子网。当网络ACL状态为已开启,将会对子网生效。 |
|
报文组 |
支持报文三元组(即协议、端口和源/目的地址)过滤。 |
支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。 |
父主题: 访问控制
