Amazon web services AWS网络ACL：为什么我需要允许出站端口80能够浏览Internet？

我对AWS和网络非常陌生。我一直在玩网络ACL。我意识到，如果我不允许网络ACL上的出站端口443 HTTPS，我将无法使用浏览器从与此ACL关联的子网中的EC2实例中转到

同样，如果我不允许出站端口80，我将无法转到

---

这让我很困惑。当我允许ACL上的端口80出站时，我是允许EC2从EC2上的临时端口与CNN服务器上的端口80通话，还是允许EC2从EC2上的端口80启动连接？

您不必添加任何规则。默认网络ACL配置为允许所有流量进出与其关联的子网。每个网络ACL还包括一个规则，其规则编号为星号。此规则确保，如果数据包与任何其他编号规则不匹配，它将被拒绝。无法修改或删除此规则

规则允许所有IPv6流量进出您的子网。我们还添加了一些规则，这些规则的编号是星号Catch All，以确保数据包在与任何其他已定义的编号规则不匹配时被拒绝

网络ACL具有单独的无状态入站和出站规则，每个规则可以允许或拒绝通信

外边界规则允许从子网到Internet的出站流量。换句话说，它将流量与ACLs列表中定义的规则相匹配，并应用它ALLOW/DENY

如果您有internet上的公共用户不应访问的私有实例，从安全角度来看，最佳做法是将这些实例放置在私有子网中，并在公共子网中使用NAT实例，并使所有流量通过此NAT实例进行修补程序更新并获得公共访问

---

有关详细信息，请选中“在实例级别使用安全组”以在实例级别具有安全性。与安全组不同，ACL是无状态的，在子网级别工作，即如果希望实例通过端口80http进行通信，则必须添加允许端口80的入站和出站规则。

您不应该有出站端口规则。他们在安全方面没有增加任何东西。但这就是我要说的：如果我不允许出站端口80，我将无法从EC2内浏览互联网。但是，很明显，下一个问题是：我需要从我的web服务器中浏览Internet吗？我想我需要下载补丁等等。我说得对吗？但这就是我要说的。你不应该有出站规则。那意味着你不应该拒绝它。您根本不应该有关于出站端口的规则。让他们都来吧。对于这个论坛周围所有善良的人来说：我的问题不是一个很长的问题，而是很短的问题。如果你不费心阅读我的问题，请不要费心仅仅剪切和粘贴一大块AWS文档。我不需要那个。你在浪费你和我的时间。非常感谢你！谢谢，但你没有回答我的问题。你基本上只是复制并粘贴标准文档。我复制了与你的问题相关的部分。请再读一遍，让我知道遗漏了什么以澄清更多您是否对此进行了检查，如果您在internet上有公共用户不应访问的私有实例，从安全角度来看，最好将这些实例放置在私有子网中，并在公共子网中使用NAT实例，并使所有流量通过此NAT实例用于进行修补程序更新并获得公共访问权限。EC2位于公共子网上。它将用作web服务器。感谢您的回复。但同样，您只是简单地重述AWS文档，甚至不必阅读我的具体问题。我不需要有人给我读AWS文档。我可以自己读。我希望有人会费心阅读我的具体问题并回答它。好的，当您允许在端口80上执行出站规则时，我知道了，您允许在端口80上连接到其他web服务器并在临时端口上侦听。非常感谢！所以我允许连接到他们的80端口，而我的端口可以是任何临时端口，对吗？还有，当我的Chrome浏览器与CNN的80端口通信时，它在我的机器上使用什么临时端口？任何端口，或者端口80？完成。一切正常。再次感谢你花时间来帮助我！新问题：限制我的机器可以与其他服务器通信的端口有什么安全好处？