NACL

• NACL代表网络访问控制列表（Network Access Control Lists）。
• 它是您VPC的安全层，控制着进出一个或多个子网的流量。
• 它是您VPC的一个可选层。
• 您可以设置一个类似于安全组的网络ACL，它为您的VPC添加了一个额外的安全层。

一些与网络ACL相关的重要信息

• 您的自定义VPC自动带有默认的网络ACL，其中包括所有入站和出站ipv4流量。
• 您还可以创建一个自定义网络ACL并将其与子网关联。默认情况下，自定义网络ACL拒绝所有入站和出站ipv4流量，直到您添加规则。
• 如果您没有显式创建网络ACL，则默认网络ACL会自动与子网关联。
• 您可以将多个子网与一个网络ACL关联。但是，一个子网一次只能与一个网络ACL关联。
• 网络ACL与入站和出站规则相关联，这些规则可以拒绝或允许流量。
• 网络ACL包含编号的规则列表，这些规则按顺序评估，从编号最低的规则开始，以确定流量是进入还是离开与网络ACL关联的子网。最高的规则编号可以是32766。建议以增量（例如，10或100的增量）创建新规则，以便您以后可以轻松地在需要的位置添加新规则。

网络ACL组件

以下是网络ACL的组件

• 规则编号：规则编号是与每个规则关联的数字。规则从编号最低的规则开始评估。一旦规则匹配流量，无论编号最高的规则是否与之冲突，该规则都会被应用。
• 协议：您可以指定任何具有标准协议号的协议。例如，Http，Https，ICMP，SSH等。
• 入站规则：它指定流量的来源和目标端口。
• 出站规则：它指定目标流量和目标端口。

网络ACL的类型

有两种类型的网络ACL

• 自定义网络ACL
• 默认网络ACL

默认网络ACL

默认网络ACL允许所有流量进出与其关联的子网。每个网络ACL还包括一个规则编号为星号（*）的规则，该规则确定如果流量与任何编号的规则都不匹配，则会被拒绝。此规则无法修改或删除。

上表是与子网关联的默认网络ACL表。规则编号100表示允许所有IPv4流量。规则编号101表示允许所有IPv6流量。规则编号'*'表示所有流量都被拒绝。

自定义网络ACL

自定义网络ACL是用户定义的网络ACL，默认情况下，它会拒绝所有入站和出站流量，直到您添加规则。

上表是拒绝所有流量的网络ACL的默认表。您需要自己添加规则以允许或拒绝流量。

创建网络ACL

• 登录 AWS 管理控制台。
• 移动到“网络和内容交付”下的VPC服务。

• 单击控制台左侧显示的您的VPC。

• 在前面的主题中，我们已经创建了一个自定义VPC，其名称为javatpointvpc。
• 单击控制台左侧显示的网络ACL。

• 单击创建网络ACL。

• 填写以下详细信息以创建网络ACL。

• 下面的屏幕显示已创建Network_ACL。