Network ACL

Network ACL — дополнительное средство защиты сети VPC на уровне подсетей для управления входящим и исходящим трафиком. Защиту на уровне инстансов обеспечивают группы безопасности.

Системные правила Network ACL

Ряд правил Network ACL являются системными и создаются автоматически. Их нельзя изменить или удалить. Каждое правило разрешает передачу:

  • пакетов, источник и назначение которых находятся в одной подсети;

  • широковещательных пакетов с адресом назначения 255.255.255.255/32;

  • многоадресных пакетов с адресом назначения 224.0.0.0/24;

  • пакетов метаданных с адресом назначения 169.254.169.254/32 и номером порта TCP 80;

  • пакетов из блоков CIDR, зарезервированных для публичных сервисов (например, пакеты с адресом назначения 100.125.0.0/16).

Весь остальной входящий и исходящий трафик запрещен.

Приоритет правил

Каждое правило Network ACL имеет определенное значение приоритета. Чем меньше значение, тем выше приоритет. В случае конфликта действует правило с высшим приоритетом. Самый низкий приоритет — у системных правил Network ACL со значением «*».

Порядок работы с Network ACL

  1. Создание Network ACL.

  2. Добавление «разрешающих» (в поле Action статус Allow) и «запрещающих» (в поле Action статус Deny) правил для входящего и исходящего трафика.

  3. Прикрепление подсети к Network ACL.

Масштабная конференция
GoCloud 2024:
облачные грани будущего