S SH Отрицать правило позволяет мне S SH?

Question

Я изучаю AWS VP C, где я назначаю правила входящего / исходящего NACL, как показано ниже: Сейчас я делаю для всех IP-адресов

Inbound
Rule #    Type           Allow/Deny
100       All Traffic    Allow
200       SSH            Deny
 *        All Traffic    Deny


Outbound
Rule #    Type           Allow/Deny
100       SSH            Deny
200       All Traffic    Allow
 *        All Traffic    Deny

Мне интересно, как мой S SH работает, как правило, говорит, что сначала будет оцениваться меньшее число, а в исходящем правиле я отклонил S SH. Может кто-нибудь объяснить, как правило работает в AWS?

Answer 1

Как правило, рекомендуется оставить NACL с настройками по умолчанию (разрешить все). Они должны использоваться только для обеспечения безопасности уровня su bnet, например, для создания DMZ.

Группы безопасности обычно используются для контроля доступа через порты. Группы безопасности имеют состояние, что также облегчает работу.

Answer 2

На самом деле мне не имеет смысла открывать все порты на вашем сервере. Я бы попробовал этот подход и добавил, например, порты, которые вам нужны по порядку - здесь 443 (если необходимо):

Inbound
Rule #    Type         Allow/Deny
100       443          Allow
*         All Traffic  Deny

Outbound
Rule #    Type         Allow/Deny
100       443          Allow
*         All Traffic  Deny

Но учтите, что ACL в AWS - это брандмауэр без сохранения состояния. Каждый запрос (входящий или исходящий) рассматривается как независимое соединение.