阿里云提供安全组和网络ACL两种访问控制方式,可实现VPC内实例级别或交换机级别的网络隔离。
安全组:安全组是VPC内的虚拟防火墙,能够控制进出ECS实例的流量。通过将具有相同安全需求并相互信任的ECS实例放入相同的安全组,可以划分安全域,保障云上资源的安全。
网络ACL:网络ACL能够控制进出交换机的流量。通过将多个交换机绑定相同的网络ACL,可统一控制进出多个交换机的流量。
对比项 | 安全组 | 网络ACL |
示意图 |  | |
作用范围 | 实例级别 您可以将安全组绑定一个或多个ECS。 | 交换机级别 您可以将网络ACL绑定一个或多个交换机。 |
工作方式 | 有状态,自动允许回包。 例如允许入方向访问80端口的流量时,您只需为 | 无状态,回包需单独放行。 例如允许入方向访问80端口的流量时,您既要为 |
组内控制策略 | 普通安全组:可选组内互通或隔离。 企业级安全组:默认组内隔离。 | 不控制同一个交换机内的ECS实例间的流量。 |
应用场景 | 实例间互访、对外开放端口 | 交换机级别的隔离、跨交换机访问控制 |
该文章对您有帮助吗?