网络 ACL 相关

最近更新时间:2018-10-29 10:30:15

什么是网络 ACL?与安全组有什么区别?

  • 网络 ACL(Access Control List,访问控制列表)是一个子网级别无状态的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度。
  • 安全组提供 CVM 实例级别的有状态的流量控制。

二者除控制层面不同外,状态和启用也有所不同,详情请参见 安全组与网络 ACL 的区别

什么是网络 ACL 的无状态?

  • 网络 ACL“无状态”:制定出数据流规则后,必须同时明确允许返回数据流,否则将无法返回。
  • 与之对应的是安全组的“有状态”:制定出数据流规则后,返回数据流会被自动允许,不受任何规则的影响。