公有云基础概念系列——纠正一下安全组和ACL的区别

在前面我们聊了安全组，当时我参考本地windows防火墙策略，认为安全组的白名单策略和windows防火墙的策略很像，所以我说大家可以将安全组当做防火墙使用。但是它们还是有区别的。

从防护对象看，安全组是针对主机的，云防火墙是针对子网或者VPC的。

从规则优先级看，安全组所有规则平等，无优先级限制，云防火墙采用ACL规则，有优先级限制。

从黑白名单看，华为云的安全组只有白名单，云防火墙黑白名单都支持。说明下阿里的安全组其实就是一个防火墙，支持黑白名单。

从防护元祖看，华为云的安全组是三元组（协议、端口、IP），云防火墙是五元组（协议、源IP、源端口、目的IP、目的端口）。阿里云的安全组也是五元组。

从应用场景看，安全组常常用在东西向的ecs之间的隔离，云防火墙主要用在南北向的ECS之间隔离与互通。