安全组规则是否会覆盖 VPC 中的 NACL？答案

【问题标题】：Does a security group rule overide NACL in VPC?安全组规则是否会覆盖 VPC 中的 NACL？
【发布时间】：2020-10-28 21:58:40
【问题描述】：

我正在尝试创建一个具有 3 台服务器的 VPC，并启用 VPC 内部的所有流量以及工作站外部的特定 IP 地址。我还想阻止任何其他流量。我无法理解 VPC 中的安全逻辑：如果我在 ACL 级别阻止所有流量并在安全组级别只允许我想要的 - 它会起作用吗？基本上，我想了解的是如何管理子网外的带外流量？

【问题讨论】：

【解决方案1】：

这 2 个服务协同工作，它们不充当 OR 条件。

安全组

安全组在主机级别进行评估，默认情况下所有流量都被阻止，除非明确允许通过 ENI 的任何交互都将根据安全组进行评估。

NACL

另一方面，NACL 在子网级别进行评估。流量在进入（或离开）子网时进行评估。事实上，如果 2 个实例位于同一子网中并私下通信，则永远不会评估 NACL。

NACL 的规则按数字从小到大的顺序进行评估，并支持 DENY 和 ALLOW。

如果您在 NACL 级别阻止所有流量，那么将支持的唯一通信是同一子网中具有与安全组匹配的入站/出站规则的实例之间的通信。

【讨论】：

那么我如何阻止除上面列出的流量之外的所有其他流量？可能 - 入站规则 1 - 允许来自特定 IP 的流量。入站规则 2 - 拒绝所有流量。带外规则-这是我不清楚的地方。
如果是这种情况，我建议您保持默认 NACL 入站，因为实例的安全组允许附加到这些实例的安全组的入站源或子网/VPC 的 IP 范围.然后允许入站访问，特别是您想要的外部 IP。如果您希望从您的实例停止出站流量，您需要列出您想要允许的 IP 范围，然后对 DENY 设置更高的规则：)
酷。似乎有道理。因此，在规则允许出站到特定 IP 之后拒绝所有出站流量。
没错，首先对您的安全组进行排序，然后执行 NACL :)
谢谢！会试一试