更新时间:2024-03-05 GMT+08:00
安全组与网络ACL区别
通过配置网络ACL和安全组策略,可以保障虚拟私有云内的实例安全运行,比如弹性云服务器、数据库、云容器实例等。
- 安全组对实例进行防护,将实例加入安全组内,该实例将会受到安全组的保护。
- 网络ACL对整个子网进行防护,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。相比安全组,网络ACL的防护范围更大。
安全组和网络ACL的关系如图1所示。本示例中,安全组A和安全组B可以保护其中ECS的网络安全,通过网络ACL A和网络ACL B,可以分别保护整个子网1和子网2的安全,双层防护提升安全保障。
网络ACL和安全组区别如表1所示。
对比项 |
安全组 |
网络ACL |
---|---|---|
防护范围 |
安全组防护安全组内的实例,比如弹性云服务器、数据库、云容器实例等。 |
网络ACL防护整个子网,子网内的所有实例都会受到网络ACL保护。 |
配置策略 |
不支持允许、拒绝策略。 |
支持允许、拒绝策略。 |
规则生效顺序 |
多个规则冲突,取其并集生效。 |
多个规则冲突,优先级高的规则生效,优先级低的不生效。 |
应用操作 |
|
创建子网没有网络ACL选项,需要先创建网络ACL,添加出入规则,并在网络ACL内关联子网。当网络ACL状态为已开启,将会对子网生效。 |
报文组 |
支持报文三元组(即协议、端口和源/目的地址)过滤。 |
支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。 |
父主题: 访问控制