据我了解,无状态防火墙更多地用于数据包过滤。为什么AWS NACL是无状态的?
NACL强制为临时端口打开的端口范围太大。
除了安全组之外,是否可以在AWS上创建状态防火墙?安全组感到过于细密,可能会被错误忽略。
答案 0 :(得分:2)
网络访问控制列表(ACL)模仿传统防火墙。此类路由器用于分隔子网,并允许创建分隔的区域,例如DMZ。它们纯粹基于数据包的内容进行过滤。那是他们的工作。
安全组是AWS中的一项新增功能,可在资源级别提供类似于防火墙的功能。 (准确地说,它们已附加到弹性网络接口ENI)。它们是有状态的,这意味着它们允许回程交通流向。
通常,建议将NACL保留为默认设置(允许所有流量输入和输出)。仅在有特殊需要在子网级别阻止某些类型的流量时,才应更改它们。
安全组是控制进出VPC附加资源的有状态流量的理想方法。它们是创建状态防火墙的方式。 VPC没有其他功能。如果您需要不同的内容,则可以通过充当NAT的Amazon EC2实例路由流量,然后完全控制其行为。