Network ACL

Network ACL — это дополнительный слой защиты для подсетей. К Network ACL можно прикрепить одну или несколько подсетей для контроля входящего и исходящего трафика.

Так же, как и группы безопасности (Группа безопасности), Network ACL обеспечивает контроль доступа к сети. ACL создает дополнительный слой защиты для Вашей VPC.

Одно из отличий Network ACL от Security Group заключается в том, что в Security Group формируются только «разрешающие» правила доступа, а в Network ACL — как «разрешающие», так и «запрещающие» правила.

См.также

Концепции

По умолчанию каждая ACL имеет следующие установки:

• разрешается передача пакетов, источник и назначение которых находятся в одной подсети;

• разрешаются широковещательные пакеты с адресом назначения 255.255.255.255/32;

• разрешаются многоадресные пакеты с адресом назначения 224.0.0.0/24;

• разрешаются пакеты метаданных с адресом назначения 169.254.169.254/32 и номером порта TCP 80;

• разрешаются пакеты из блоков CIDR, зарезервированных для публичных служб (например, пакеты с адресом назначения 100.125.0.0/16);

• запрещается весь трафик в подсети и из нее, за исключением перечисленного выше.

Внимание

Правила Network ACL по умолчанию (со значением приоритета «*») не могут быть изменены или удалены.

Каждое правило Network ACL имеет определенное значение приоритета. Чем меньше значение, тем больше веса оно имеет, т.е. меньше значение — выше приоритет.

Правило по умолчанию, со значением «*», имеет самый низкий приоритет.

Порядок работы с Network ACL:

1. Создается Network ACL.

2. Определяется набор «разрешающих» (в поле Action статус Permit) и «запрещающих» (в поле Action статус Deny) правил для входящего и исходящего трафика.

3. К Network ACL прикрепляется подсеть.

• Управление Network ACL
• Управление правилами Network ACL