Network ACL

Network ACL — это дополнительный слой защиты для подсетей. К Network ACL можно прикрепить одну или несколько подсетей для контроля входящего и исходящего трафика.

../_images/schm__network-acl1.jpeg

Так же, как и Группы Безопасности (Security groups), Network ACL обеспечивает контроль доступа к сети. ACL создает дополнительный слой защиты для Вашей VPC.

Одно из отличий Network ACL от Security Group заключается в том, что в Security Group формируются только «разрешающие» правила доступа, а в Network ACL — «разрешающие», так и «запрещающие» правила.

По умолчанию каждая ACL имеет следующие установки:

  • разрешается передача пакетов, источник и назначение которых находятся в одной подсети;

  • разрешаются широковещательные пакеты с адресом назначения255.255.255.255/32;

  • разрешаются многоадресные пакеты с адресом назначения 224.0.0.0 / 24;

  • разрешаются пакеты метаданных с адресом назначения 169.254.169.254 / 32 и номером порта TCP 80;

  • разрешаются пакеты из блоков CIDR, зарезервированных для публичных служб (например, пакеты с адресом назначения 100.125.0.0 / 16);

  • запрещается весь трафик в подсети и из нее, за исключением перечисленного выше.

Внимание

Правила Network ACL по умолчанию (со значением приоритета «*») не могут быть изменены или удалены.

Каждое правило Network ACL имеет определенное значение приоритета. Чем меньше значение, тем больше веса оно имеет, т.е. меньше значение — выше приоритет.

Правило по умолчанию, со значением «*», имеет самый низкий приоритет.

Порядок работы с Network ACL:

  1. Создается Network ACL.

  2. Определяется набор «разрешающих» (в поле Action статус Permit) и «запрещающих» (в поле Action статус Deny) правил для входящего и исходящего трафика.

  3. К Network ACL прикрепляется подсеть.