Bài viết này sẽ giúp bạn phân biệt rõ hơn về Security Group và Network ACL trong AWS.
Security group
Nó giống như một firewall ảo cho instance. Khi traffic vào instance thì sẽ được kiểm tra xem có nằm trong những rule cho phép của Security group không để cho phép đi qua.
Hoạt động như một firewall cho subnet. Khi trafic đi ra và vào subnet thì sẽ được kiểm tra theo rule của Network ACL. Rule được đánh số và ưu tiên từ thấp đến cao.
Để cho dễ hình dung bạn có thể xem bảng so sánh bên dưới:
Security GroupNetwork ACLHoạt động như là firewall cho instanceHoạt động như là firewall cho subnetChỉ hỗ trợ những rule cho phép [allow rule]Hỗ trợ cả những rule cho phép [allow rule] và cả những rule không cho phép [Deny rule]Stateful - Có nghĩa là traffic quay trở lại thì tự động được cho phépStateless - traffic quay trở lại vẫn phải thoả mãn allow rule thì mới được thông quaĐánh giá tất cả các rule trước khi cho phép một traffic thông quaĐánh giá các rule từ thứ tự nhỏ đến lớn và thực thi ngay lập tức khi có rule thoả mãn điều kiệnCó tối đa 5 security group cho một instanceChỉ có duy nhất 1 Network ACL cho một subnetTối đa 50 rule cho một Security GroupTối đa 20 Rule cho NACLSecurity group được tạo mới thì mặc định chặn tất cả traffic inboundNACL được tạo mới thì mặc định chặn hết traffic inboundSecurity group được tạo mới mặc định mở hết traffic outboundNACL được tạo mới mặc định chặn hết traffic outboud