我目前正在 Amazon VPC 上设置多个子网。例如,我有一个用于数据库服务器的子网,一个用于 Web 服务器的子网,一个用于负载均衡器的子网。我尝试尽可能限制对这些子网的访问。现在,我们创建具有相同规则集的 ACL 和安全组,并将它们分配给子网/实例。
只使用其中一个可以吗?您更喜欢使用哪一个?或者我是否错过了需要创建和维护这两个的东西?
答案1
没有什么需要两者都需要,但只要您已经创建了这两者,您不妨继续这样做,以支持“纵深防御”理念。安全组更像是 iptables 规则(Xen 主机网络堆栈中的软件防火墙),而网络 ACL 位于网络层,因此,它们阻止的流量在较低级别进行,与您的 VPS 进一步隔离。