基于VPC的安全防护之网络ACL

基于VPC的安全防护可以选用安全组和网络ACL，而且这两个安全服务在过安全等保服务中是必选项，最为关键的是这两个服务是免费的，而且功能强大。下面就详细的讲一下。

网络ACL：网络ACL是一个或一组实例控制策略的系统。它主要是提供有状态的网络ACL服务，根据与子网关联的入站/出站ACL规则评估数据报文五元组，判断数据包是否允许流向/流出子网。

和安全组对比着进行讲解应该更方便理解它的含义。

首先安全组是需要在ECS中进行添加的一种安全防护手段，而网络ACL则是针对于子网级别进行操作。也就是说防护的对象不同。

安全组仅支持允许的策略，也就是说安全组是在设定白名单而网络ACL 可以支持允许和拒绝策略，既支持白名单也支持黑名单。

安全组的优先级是多个规则冲突，取其并集生效，也就是所有的安全组策略的集合。而网络ACL有多个规则冲突，优先级高的规则优先生效，这个优先级就是加入策略的先后顺序也就是索引的数字，数字越小优先级越高。

安全组创建弹性云服务器时必须进行安全组的选择，默认的安全组自动应用到弹性云服务器。而创建子网没有网络ACL选项，必须创建网络ACL、添加关联子网、添加出入规则，并启用网络ACL，才可应用到关联子网及子网下的弹性云服务器。

最后就是报文组不同，安全组仅支持报文三元组（即协议、端口和对端地址）过滤。而网络ACL支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤。比安全组内容更丰富。