ข้ามไปเนื้อหาหลัก
เครือข่าย· ~16 นาที

Security Groups vs Network ACLs

ไฟร์วอลล์ 2 ระดับ: stateful vs stateless

เปรียบเทียบให้เห็นภาพ

Security Group เหมือน รปภ.ประจำตัวที่ติดตามแต่ละคน (instance) — จำได้ว่าใครออกไปก็ให้กลับเข้าได้. NACL เหมือน รปภ.ที่ประตูรั้วของทั้งหมู่บ้าน (subnet) — ตรวจทุกคนที่ผ่านเข้า-ออกตามรายชื่อ

ไฟร์วอลล์ 2 ชั้น: NACL ที่ขอบ subnet, SG ที่ตัวเครื่อง

Traffic
NACL (ระดับ subnet · stateless)
SG (ระดับเครื่อง · stateful)
EC2
Security Group — stateful (จำ connection ขาเข้า-ออก), มีแต่ allow
NACL — stateless (ต้องเปิดทั้งขาเข้า/ออก), มีทั้ง allow และ deny

Security Group Rule Builder

SG อนุญาตเฉพาะสิ่งที่มีกฎ allow ตรงกัน (ที่เหลือบล็อกหมด) — เพิ่มกฎแล้วลองยิง traffic ทดสอบดู

Inbound Rules

ALLOW · port 443 · 0.0.0.0/0

เพิ่มกฎสำเร็จรูป:

ทดสอบ traffic

ถูกบล็อก — ไม่มีกฎ allow ที่ตรงกัน
เพิ่มกฎแล้วลองยิง traffic ทดสอบว่าผ่านหรือถูกบล็อก

จุดต่างที่ต้องจำ

  • Security Group อยู่ระดับ instance/ENI · stateful (อนุญาตขาเข้าแล้ว ขาออกที่ตอบกลับผ่านอัตโนมัติ) · มีแต่กฎ allow
  • NACL อยู่ระดับ subnet · stateless (ต้องเปิดทั้งขาเข้าและขาออกเอง) · มีทั้ง allow และ deny และประเมินตามลำดับเลขกฎ
  • ค่าเริ่มต้น: SG บล็อกขาเข้าทั้งหมด/อนุญาตขาออกทั้งหมด · default NACL อนุญาตทุกอย่าง

สรุป Key Takeaways

  • SG = ระดับเครื่อง, stateful, allow อย่างเดียว
  • NACL = ระดับ subnet, stateless, มีทั้ง allow/deny
  • จะบล็อก IP เจาะจงต้องใช้ NACL; งานทั่วไปใช้ SG

ลองทำ Quiz ท้ายบท

คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที

อ่านจบแล้วอย่าลืมทำเครื่องหมาย