Network ACL
Network ACL — дополнительное средство защиты сети VPC на уровне подсетей для управления входящим и исходящим трафиком. Защиту на уровне инстансов обеспечивают группы безопасности.
Системные правила Network ACL
Ряд правил Network ACL являются системными и создаются автоматически. Их нельзя изменить или удалить. Каждое правило разрешает передачу:
-
пакетов, источник и назначение которых находятся в одной подсети;
-
широковещательных пакетов с адресом назначения 255.255.255.255/32;
-
многоадресных пакетов с адресом назначения 224.0.0.0/24;
-
пакетов метаданных с адресом назначения 169.254.169.254/32 и номером порта TCP 80;
-
пакетов из блоков CIDR, зарезервированных для публичных сервисов (например, пакеты с адресом назначения 100.125.0.0/16).
Весь остальной входящий и исходящий трафик запрещен.
Приоритет правил
Каждое правило Network ACL имеет определенное значение приоритета. Чем меньше значение, тем выше приоритет. В случае конфликта действует правило с высшим приоритетом. Самый низкий приоритет — у системных правил Network ACL со значением «*».
Порядок работы с Network ACL
-
Создание Network ACL.
-
Добавление «разрешающих» (в поле Action статус Allow) и «запрещающих» (в поле Action статус Deny) правил для входящего и исходящего трафика.
-
Прикрепление подсети к Network ACL.
- Системные правила Network ACL
- Приоритет правил
- Порядок работы с Network ACL