更新时间:2024-03-05 GMT+08:00

安全组与网络ACL区别

通过配置网络ACL和安全组策略,可以保障虚拟私有云内的实例安全运行,比如弹性云服务器、数据库、云容器实例等。

  • 安全组对实例进行防护,将实例加入安全组内,该实例将会受到安全组的保护。
  • 网络ACL对整个子网进行防护,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。相比安全组,网络ACL的防护范围更大。

安全组和网络ACL的关系如图1所示。本示例中,安全组A和安全组B可以保护其中ECS的网络安全,通过网络ACL A和网络ACL B,可以分别保护整个子网1和子网2的安全,双层防护提升安全保障。

图1 安全组与网络ACL
网络ACL和安全组区别如表1所示。
表1 安全组和网络ACL区别说明

对比项

安全组

网络ACL

防护范围

安全组防护安全组内的实例,比如弹性云服务器、数据库、云容器实例等。

网络ACL防护整个子网,子网内的所有实例都会受到网络ACL保护。

配置策略

不支持允许、拒绝策略。

支持允许、拒绝策略。

规则生效顺序

多个规则冲突,取其并集生效。

多个规则冲突,优先级高的规则生效,优先级低的不生效。

应用操作

  • 创建实例(比如弹性云服务器)时,必须选择一个安全组,如果当前用户名下没有安全组,则系统会自动创建一个默认安全组。
  • 实例创建完成后,您可以执行以下操作:
    • 在安全组控制台,添加/移出实例。
    • 在实例控制台,为实例添加/移除安全组。

创建子网没有网络ACL选项,需要先创建网络ACL,添加出入规则,并在网络ACL内关联子网。当网络ACL状态为已开启,将会对子网生效。

报文组

支持报文三元组(即协议、端口和源/目的地址)过滤。

支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。