Концепции
Различия Network ACL и Security Group
В графическом представлении Network ACL и Security Group можно выразить следующим образом:
Для повышения уровня безопасности можно настроить как Security Groups, так и Network ACLs. При этом Security Groups защищают напрямую виртуальные машины ECS, а Network ACLs действуют на уровне подсетей.
В таблице описаны различия Network ACL и Security Group.
Категория |
Security Group |
Network ACL |
|---|---|---|
Цель |
Действует на уровне виртуальных машин ECS |
Действует на уровне подсетей |
Правила |
Поддерживает только «разрешающие» правила |
Поддерживает как «разрешающие», так и «запрещающие» правила |
Приоритет |
При возникновении конфликта подействуют только совпадающие элементы правил Security Group |
При возникновении конфликта в Network ACL подействует правило с большим приоритетом |
Использование |
Автоматически применяется ко всем ECS, к которым была добавлена группа (Security Group) при создании ECS Выбор Security Group при создании ECS является обязательным условием |
Применяется ко всем ECS в тех подсетях, которые входят в Network ACL Выбор Network ACL не является обязательным при создании подсетей Чтобы Network ACL возымела действие нужно: создать Network ACL, связать с ней подсети, добавить входящие и исходящие правила для трафика, затем включить Network ACL |
Защита |
Поддерживает только трехфакторную защиту:
|
Поддерживает только пятифакторную защиту:
|