はじめに
この記事はAWS SAA試験勉強のための、ネットワークACLに関する知識のまとめです。
ネットワークACLとは
VPCのサブネットに関連付けられて、ネットワーク上の着信トラフィックリクエストをフィルタリングする機能。(セキュリティグループはインスタンス。)
Webサーバへの特定のIPアドレスからのアクセスを拒否する時に用いる。
ネットワークACLの基本的性質
- ネットワークACLはステートレスであるため、アウトバウンド通信の許可設定も必要となる。その場合は、PC側の広範囲なポート番号が必要となるため、エフェメラルポートの設定が必要となる。これは1024-65535のポート番号範囲でSSHを許可する設定である。
- ネットワークACLはサブネットとVPCに対するプロトコル通信の許可と拒否を設定するためのファイアウォールである。インスタンスへの通信許可を設定することはできない。
- ネットワークACLを直接にアプリケーションサーバーに設定することはできない。
ネットワークACLルール
ネットワークACLルールは低い値から高い値に順番に評価されて、低い値が優先されるルールとなっています。
ネットワークACLとセキュリティグループ
ネットワークACLおよびセキュリティグループは共にURLに基づいてリクエストをフィルタリングすることができません。
- セキュリティグループ
特定のインスタンスに対して不審なIPアドレスからのアクセスをブロックしたい場合、該当インスタンスのセキュリティグループに該当IPを許可しないルールを追加します。 - ネットワークACL
サブネット全体に対して不審なIPアドレスからのアクセスをブロックしたい場合、ネットワークACLに拒否ルールを追加します。