Network ACLs
Network ACLs trong Amazon VPC
ℹ️ Định nghĩa và Đặc điểm Cơ bản
- Network ACL là lớp bảo mật bổ sung cho VPC ở cấp độ subnet
- Hoạt động như tường lửa stateless để kiểm soát lưu lượng vào/ra subnet
- Mỗi VPC có một Network ACL mặc định cho phép mọi lưu lượng IPv4/IPv6
- Có thể tạo Network ACL tùy chỉnh với các quy tắc riêng
⚠️ Giới hạn và Yêu cầu
- Mỗi subnet phải liên kết với một Network ACL
- Một Network ACL có thể áp dụng cho nhiều subnet
- Subnet chỉ liên kết với một Network ACL tại một thời điểm
- Tối đa 32766 quy tắc cho mỗi Network ACL
🔒 Đặc tính Hoạt động
- Là dịch vụ Stateless - cần cấu hình quy tắc riêng cho lưu lượng vào/ra
- Đánh giá quy tắc theo thứ tự số từ thấp đến cao
- Hỗ trợ cả quy tắc Allow và Deny
- Thay đổi quy tắc được áp dụng tự động cho subnet liên kết
Cấu trúc Quy tắc Network ACL
ℹ️ Thành phần Quy tắc
- Rule Number: Xác định thứ tự ưu tiên đánh giá
- Type: Loại lưu lượng (VD: SSH, HTTP, Custom)
- Protocol: Giao thức mạng được sử dụng
- Port Range: Cổng hoặc dải cổng cho phép
- Source/Destination: Nguồn/đích của lưu lượng (dạng CIDR)
- Allow/Deny: Quyết định cho phép hoặc chặn lưu lượng
💡 Pro Tips
- Sắp xếp quy tắc theo thứ tự ưu tiên hợp lý
- Sử dụng quy tắc Deny để chặn lưu lượng không mong muốn
- Duy trì documentation cho các quy tắc tùy chỉnh
- Kiểm tra kỹ các quy tắc trước khi áp dụng để tránh gián đoạn dịch vụ