Почему в группах безопасности нет концепции отказа?

Question

Какова причина, по которой группы безопасности не могут отклонять какой-то трафик c, тогда как это возможно с помощью NACL?

Answer 1

Я бы предположил в основном из соображений производительности. Все правила проверяются и применяются на уровне сетевого интерфейса, который зависит от общего количества хостов на физическом хосте. Неявно отрицая отсутствие правил, он снижает вычислительные требования.

Answer 2

Нет никакой «причины», кроме «потому что это было так».

Группы безопасности запрещают все по умолчанию, а трафик c, соответствующий любому правилу, позволяет пропускать этот трафик c, поэтому нет необходимости в приоритете правила, как это было бы при сочетании разрешения / запрета. Это, в свою очередь, означает более простой интерфейс и, вероятно, более простую и легкую реализацию, хотя фактическая причина может быть не связана с этим, а просто может заключаться в том, что NACL уже предоставляет эту функцию.