据我了解,无状态防火墙更多地用于数据包过滤。为什么 AWS NACL 是无状态的?
NACL 强制为临时端口打开的端口范围太大。
除了安全组之外,还有其他方法可以在 AWS 上创建状态防火墙吗?安全组感觉过于精细,可能会被错误地忽略。
最佳答案
网络访问控制列表 (ACL) 模仿在硬件路由器上实现的传统防火墙。此类路由器用于分隔子网并允许创建单独的区域,例如 DMZ .它们纯粹根据数据包的内容进行过滤。那是他们的工作。
安全组是 AWS 中的一项附加功能,可在资源级别提供类似防火墙的功能。 (准确地说,它们附加到弹性网络接口(interface),ENI)。它们是有状态的,这意味着它们允许返回流量流动。
一般来说,建议将 NACL 保留为默认设置(允许所有流量进出)。仅当有特定需要在子网级别阻止某些类型的流量时才应更改它们。
安全组是控制进出 VPC 附加资源的有状态流量的理想方式。它们是创建状态防火墙的方式。 VPC 不提供其他此类功能。如果您想要不同的东西,您可以通过充当 NAT 的 Amazon EC2 实例路由流量,然后您将完全控制它的行为方式。
关于amazon-web-services - 为什么 AWS NACL 是无状态的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56349969/