Network ACL

Network ACL — это дополнительный слой защиты для подсетей. К Network ACL можно прикрепить одну или несколько подсетей для контроля входящего и исходящего трафика.

../_images/schm__network-acl.svg

Так же, как и группы безопасности (Security groups), Network ACL обеспечивает контроль доступа к сети. ACL создает дополнительный слой защиты для Вашей VPC.

Одно из отличий Network ACL от Security Group заключается в том, что в Security Group формируются только «разрешающие» правила доступа, а в Network ACL — как «разрешающие», так и «запрещающие» правила.

См.также

Концепции

По умолчанию каждая ACL имеет следующие установки:

  • разрешается передача пакетов, источник и назначение которых находятся в одной подсети;

  • разрешаются широковещательные пакеты с адресом назначения 255.255.255.255/32;

  • разрешаются многоадресные пакеты с адресом назначения 224.0.0.0/24;

  • разрешаются пакеты метаданных с адресом назначения 169.254.169.254/32 и номером порта TCP 80;

  • разрешаются пакеты из блоков CIDR, зарезервированных для публичных служб (например, пакеты с адресом назначения 100.125.0.0/16);

  • запрещается весь трафик в подсети и из нее, за исключением перечисленного выше.

Внимание

Правила Network ACL по умолчанию (со значением приоритета «*») не могут быть изменены или удалены.

Каждое правило Network ACL имеет определенное значение приоритета. Чем меньше значение, тем больше веса оно имеет, т.е. меньше значение — выше приоритет.

Правило по умолчанию, со значением «*», имеет самый низкий приоритет.

Порядок работы с Network ACL:

  1. Создается Network ACL.

  2. Определяется набор «разрешающих» (в поле Action статус Permit) и «запрещающих» (в поле Action статус Deny) правил для входящего и исходящего трафика.

  3. К Network ACL прикрепляется подсеть.