в чем разница между NAT-шлюзом и ACL с заблокированным входящим трафиком

Я читал про aws VPC и пытаюсь найти какой-нибудь смысл в использовании NAT. Если я правильно понял, NAT используется, когда у нас есть VPC с двумя подсетями: публичной и частной. И если мы хотим разрешить частной подсети делать запросы к глобальной сети (например, для обновлений программного обеспечения), но блокировать весь входящий трафик - мы можем настроить NAT в общедоступной подсети и соединить этот NAT с частной подсетью.

введите здесь описание изображения

Но в то же время мы можем просто создать ACL для частной подсети и заблокировать весь входящий трафик. Таким образом, при необходимости он сможет загружать обновления программного обеспечения.

Итак, если все вышесказанное верно, зачем нам NAT?


amazon-web-services amazon-vpc
person Farad    schedule 12.04.2020    source источник
comment
Как вы получите ответы TCP в свой экземпляр EC2, если ACL вашей подсети блокирует весь входящий трафик?   -  person jarmod    schedule 12.04.2020
comment
как он будет получать ответы TCP, если NAT блокирует весь входящий трафик?   -  person Farad    schedule 12.04.2020
comment
Вы предложили заблокировать входящие подключения к вашим экземплярам EC2 с помощью блока ACL подсети. Я говорю, что это не сработает, потому что это заблокирует весь трафик к экземплярам, ​​включая ответы на исходящие запросы вашего экземпляра на обновления программного обеспечения. Следовательно, нет, блок ACL не заменяет IGW и NAT. Вам понадобится NAT (и IGW), если вам нужны общие исходящие TCP-соединения с отслеживанием состояния от ваших «частных» экземпляров.   -  person jarmod    schedule 12.04.2020
comment
На ваш вопрос, как он будет получать ответы TCP, если NAT блокирует весь входящий трафик? NAT не блокирует весь входящий трафик. Если ваш экземпляр EC2 создал TCP-соединение с сервисом в Интернете через NAT, тогда NAT выполняет преобразование адресов порта и с радостью принимает ответы с отслеживанием состояния и передает их обратно вашему экземпляру.   -  person jarmod    schedule 12.04.2020

Ответы (1)


arrow_upward
3
arrow_downward

Список управления доступом к сети (NACL) не имеет состояния. Это означает, что правила применяются в обоих направлениях. Таким образом, в вашем сценарии трафик будет заблокирован в обоих направлениях.

В общем, нет необходимости использовать NACL. Есть несколько подходящих вариантов использования (например, создание DMZ), но они встречаются редко.

При желании вы можете поместить все в общедоступную подсеть и просто использовать Группы безопасности для управления доступом. Это будет хорошо работать, потому что правила для входящего и исходящего трафика можно настроить отдельно. Однако многим нравится традиционная концепция частной подсети, которая дает дополнительное ощущение безопасности.

person John Rotenstein    schedule 13.04.2020