Security AWS网络ACL'；中国的最佳实践

我正在AWS上创建一个新的VPC，我渴望知道如何遵循创建网络ACL的最佳实践

e、 g

我已经创建了一个横跨3个AZ的生产专有网络

对于每个az、1a、1b、1c，我给出了3个子网，一个是公共子网，一个是私有子网，一个是受限子网

IP子网部分：

公共子网： az 1a IP:10.31.0.0/22 az 1b IP:10.31.4.0/22 az 1c IP:10.31.8.0/22

专用子网： az 1a IP:10.31.100.0/22 az 1b IP:10.31.104.0/22 az 1c IP:10.31.108.0/22

受限子网： az 1a IP:10.31.200.0/22 az 1b IP:10.31.204.0/22 az 1c IP:10.31.208.0/22

在公共子网：现在-隔离是，我将有一个ELB将处理公共交通和ELB将在公共子网，包括网络服务器

在专用网络上：我有应用服务器，它需要通过API调用第三方应用程序，然后做出响应，当然，我会在这里为专用网络出站设置NAT，所以这里的目的是让应用服务器可以调用internet

在受限网络上：将是仅信任于专用网络而非公用子网的数据库

我这里的问题是如何配置ACL？我计划有3种类型的ACL的一个公共的，这是相关联的3个公共子网以上。。。 所以源代码应该是：Inbound:0.0.0.0/0允许端口80和443，但我不确定出站端口是什么？我正在测试，所以出站也会转到私有ACL子网，但不太正常。。。我想实现-公共ACL允许在端口80和443上使用0.0.0.0/0，也允许出站转到专用网络，即10.31.100.0/22、10.31.104.0/22、10.31.108.0/22和

将ACL限制为来自专用子网的入站ACL，仅限于外联到专用网络

---

这样行吗？有什么想法吗

大多数应用程序不需要网络ACL。它们是一种无状态、低级别的暴力机制，用于实施额外的访问控制。安全组应足以满足您的配置。Stack Overflow是一个解决编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参见帮助中心中的。也许或者会是一个更好的提问的地方。另请参见网络ACL是一个很好的安全考虑因素。它们在子网之间提供了一层保护，保护您免受容易出错的安全组中的严重未命中。例如，您的web服务器子网应该没有必要使用SSH连接到mysql服务器。通过限制子网之间的连接和限制来自已知管理源的SSH，可以确保攻击者的工作变得困难。我目前的做法是在一个非常高的级别上管理这一问题，并与安全小组加强合作。