Network ACL
Network ACL — дополнительное средство защиты сети VPC на уровне подсетей для управления входящим и исходящим трафиком. Защиту на уровне инстансов обеспечивают группы безопасности.
Системные правила Network ACL
Ряд правил Network ACL являются системными и создаются автоматически. Их нельзя изменить или удалить. Каждое правило разрешает передачу:
пакетов, источник и назначение которых находятся в одной подсети;
широковещательных пакетов с адресом назначения 255.255.255.255/32;
многоадресных пакетов с адресом назначения 224.0.0.0/24;
пакетов метаданных с адресом назначения 169.254.169.254/32 и номером порта TCP 80;
пакетов из блоков CIDR, зарезервированных для публичных сервисов (например, пакеты с адресом назначения 100.125.0.0/16).
Весь остальной входящий и исходящий трафик запрещен.
Приоритет правил
Каждое правило Network ACL имеет определенное значение приоритета. Чем меньше значение, тем выше приоритет. В случае конфликта действует правило с высшим приоритетом. Самый низкий приоритет — у системных правил Network ACL со значением «*».
Порядок работы с Network ACL
Создание Network ACL.
Добавление «разрешающих» (в поле Action статус Allow) и «запрещающих» (в поле Action статус Deny) правил для входящего и исходящего трафика.
Прикрепление подсети к Network ACL.
- Системные правила Network ACL
- Приоритет правил
- Порядок работы с Network ACL