安全组和网络ACL(Access Control Lists,访问控制列表)的区别如表1所示。
表1 安全组和网络ACL
对比项 |
安全组 |
网络ACL |
防护对象 |
实例级别操作。 |
子网级别操作。 |
配置策略 |
支持允许、拒绝策略。 |
支持允许、拒绝策略。 |
优先级 |
多个规则冲突,取其并集生效。 |
多个规则冲突,优先级高的规则优先生效。 |
应用操作 |
创建实例时必须选择安全组,安全组自动应用到实例。 |
创建子网没有网络ACL选项,如果创建网络ACL,需要添加关联子网、添加出入规则,并启用网络ACL,才可应用到关联子网及子网下的实例。 |
报文组 |
仅支持报文三元组(即协议、端口和对端地址)过滤。 |
支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。 |