-您的VPC默認(rèn)沒有網(wǎng)絡(luò)ACL。當(dāng)您需要時，可以創(chuàng)建自定義的網(wǎng)絡(luò)ACL并將其與子網(wǎng)關(guān)聯(lián)。關(guān)聯(lián)子網(wǎng)后，網(wǎng)絡(luò)ACL默認(rèn)拒絕所有出入子網(wǎng)的流量，直至添加放通規(guī)則。

-網(wǎng)絡(luò)ACL可以關(guān)聯(lián)多個子網(wǎng)，但一個子網(wǎng)同一時間只能關(guān)聯(lián)一個網(wǎng)絡(luò)ACL。

-每個新創(chuàng)建的網(wǎng)絡(luò)ACL最初都為未激活狀態(tài)，直至您關(guān)聯(lián)子網(wǎng)為止。

-網(wǎng)絡(luò)ACL是有狀態(tài)的。如果您發(fā)送一個出站請求，且該網(wǎng)絡(luò)ACL的出站規(guī)則是放通的話，那么無論其入站規(guī)則如何，都將允許該出站請求的響應(yīng)流量流入。同理，如果您發(fā)送一個入站請求，且該網(wǎng)絡(luò)ACL的入站規(guī)則是放通的，那無論出站規(guī)則如何，都將允許該入站請求的響應(yīng)流量可以出站。

-不同協(xié)議的連接跟蹤老化時間不同，已建立連接狀態(tài)的TCP協(xié)議連接老化時間是600s，ICMP協(xié)議老化時間是30s。對于其他協(xié)議，如果兩個方向都收到了報文，連接老化時間是180s，如果只是單方向收到了一個或多個包，另一個方向沒有收到包時，老化時間是30s。對于除TCP、UDP或ICMP以外的協(xié)議，僅跟蹤IP地址和協(xié)議編號。

每個網(wǎng)絡(luò)ACL都包含一組默認(rèn)規(guī)則，如下所示：

-默認(rèn)放通同一子網(wǎng)內(nèi)的流量。

-默認(rèn)放通目的IP地址為255.255.255.255/32的廣播報文。用于配置主機(jī)的啟動信息。

-默認(rèn)放通目的網(wǎng)段為224.0.0.0/24的組播報文。供路由協(xié)議使用。

-默認(rèn)放通目的IP地址為169.254.169.254/32，TCP端口為80的metadata報文。用于獲取元數(shù)據(jù)。

-默認(rèn)放通公共服務(wù)預(yù)留網(wǎng)段資源的報文，例如目的網(wǎng)段為100.125.0.0/16的報文。

-除上述默認(rèn)放通的流量外，其余出入子網(wǎng)的流量全部拒絕，如下表所示。該規(guī)則不能修改和刪除。

-由于應(yīng)用層需要對外提供服務(wù)，因此入方向規(guī)則必須放通所有地址，如何防止惡意用戶的非正常訪問呢？

解決方案：通過網(wǎng)絡(luò)ACL添加拒絕規(guī)則，拒絕惡意IP的訪問。

-隔離具有漏洞的應(yīng)用端口，比如Wanna Cry，關(guān)閉445端口。

解決方案：通過網(wǎng)絡(luò)ACL添加拒絕規(guī)則，拒絕惡意協(xié)議和端口，比如TCP：445端口。

-子網(wǎng)內(nèi)的通信無防護(hù)訴求，僅有子網(wǎng)間的訪問限制。

解決方案：通過網(wǎng)絡(luò)ACL設(shè)置子網(wǎng)間的訪問規(guī)則

-對訪問頻繁的應(yīng)用，調(diào)整安全規(guī)則順序，提高性能。

解決方案：網(wǎng)絡(luò)ACL支持規(guī)則編排，可以把訪問頻繁的規(guī)則置頂。