14、AWS网络基础：IP地址、防火墙与网络连接详解

AWS网络基础：IP地址、防火墙与网络连接详解

1. NACL规则与安全组规则差异

在网络访问控制列表（NACL）规则中，只能指定无类别域间路由（CIDR）作为源或目标。而安全组规则不同，它可以指定另一个安全组作为源或目标。

2. AWS网络防火墙

2.1 概述

AWS网络防火墙是一种可扩展的防火墙，能够保护多个虚拟专用云（VPC）和子网，甚至跨不同的AWS账户。与仅使用网络访问控制列表（NACLs）相比，它具有一些优势。NACLs仅提供无状态数据包过滤，而AWS网络防火墙提供Web过滤、入侵检测和预防、无状态和有状态数据包过滤，以及对所有流量的集中可见性。

2.2 工作原理

它通过拦截进出子网的流量来工作。用户创建策略和规则，控制哪些流量被阻止或允许以及在什么条件下。然后配置VPC路由表，将子网间流量路由到网络防火墙。使用AWS网络防火墙需要按小时收费以及按每GB收费。需要注意的是，AWS网络防火墙不能替代安全组。

3. 公共IP地址

3.1 定义与用途

公共IP地址可通过公共互联网访问，这与RFC 1918地址（如192.168.1.1）形成对比，后者不能在互联网上路由，但可以在专用网络内路由。如果希望他人通过互联网直接连接到实例，则需要为该实例分配公共IP地址，这自然需要将互联网网关附加到实例所在的VPC。如果只希望实例具有仅出站的互联网访问权限，也可以为其分配公共IP地址。而实例在VPC基础设施内相互通信时，使用私有IP地址，不需要公共IP地址。

3.2 自动分配公共IP的优缺点

当将实例启