Bài này chúng ta và cafedev sẽ tìm hiểu về NACL là gì? trong AWS, trước khi chúng ta bắt đầu sử dụng AWS một cách dễ dàng hơn.

1. NACL

  • NACL là viết tắt của Network Access Control Lists.
  • Nó là một lớp bảo mật cho VPC của bạn để kiểm soát lưu lượng vào và ra của một hoặc nhiều mạng con.
  • Nó là một lớp tùy chọn cho VPC của bạn.
  • Bạn có thể thiết lập Mạng ACL tương tự như nhóm bảo mật bổ sung thêm một lớp bảo mật cho VPC của bạn.

2. Một số quan trọng liên quan đến Mạng ACL:

  • VPC tùy chỉnh của bạn tự động đi kèm với Mạng ACL mặc định bao gồm tất cả lưu lượng ipv4 vào và ra.
  • Bạn cũng có thể tạo ACL mạng tùy chỉnh và liên kết với một mạng con. Theo mặc định, ACL mạng tùy chỉnh từ chối tất cả lưu lượng ipv4 vào và ra cho đến khi bạn thêm quy tắc.
  • Nếu bạn không tạo ACL Mạng một cách rõ ràng, thì ACL Mạng mặc định sẽ tự động liên kết với mạng con.
  • Bạn có thể liên kết nhiều mạng con với một ACL mạng. Tuy nhiên, một mạng con có thể được liên kết với ACL Mạng duy nhất tại một thời điểm.
  • Mạng ACL được liên kết với cả quy tắc gửi đến và gửi đi có thể từ chối hoặc cho phép các quy tắc.
  • Một ACL Mạng chứa danh sách các quy tắc được đánh số theo thứ tự, bắt đầu từ quy tắc được đánh số thấp nhất, để xác định xem lưu lượng truy cập vào hay ra khỏi mạng con được liên kết với Mạng ACL. Quy tắc được đánh số cao nhất có thể là 32766. Bạn nên tạo quy tắc mới với số gia (Ví dụ: số gia là 10 hoặc 100) để bạn có thể dễ dàng thêm các quy tắc mới vào những nơi bạn cần sau này.

3. Thành phần ACL mạng

Sau đây là các thành phần của ACL mạng:

  • Số quy tắc(Rule number): Số quy tắc là một số được liên kết với mọi quy tắc. Các quy tắc được đánh giá bắt đầu với quy tắc được đánh số thấp nhất. Ngay sau khi quy tắc khớp với lưu lượng truy cập, quy tắc được áp dụng bất kể quy tắc được đánh số cao nhất có mâu thuẫn với quy tắc đó hay không.
  • Giao thức(Protocol): Bạn có thể chỉ định bất kỳ giao thức nào có số giao thức chuẩn. Ví dụ: Http, Https, ICMP, SSH, v.v.
  • Các quy tắc đến(Inbound rules): Nó chỉ định nguồn của lưu lượng và cổng đích.
  • Các quy tắc gửi đi(Outbound rules): Nó chỉ định lưu lượng đích và cổng đích.

4. Các loại ACL mạng

Có hai loại Mạng ACL:

  • Mạng tùy chỉnh ACL(Custom Network ACL)
  • ACL mạng mặc định(Default Network ACL)

4.1 ACL mạng mặc định

Mạng ACL mặc định cho phép tất cả lưu lượng đi vào hoặc ra khỏi mạng con được liên kết với nó. Mỗi Mạng ACL cũng bao gồm một quy tắc có số quy tắc là dấu hoa thị xác định nếu lưu lượng truy cập không khớp với bất kỳ quy tắc được đánh số nào, thì quy tắc đó sẽ bị từ chối. Quy tắc này không thể được sửa đổi hoặc loại bỏ.

Qui định KiểuGiao thức(Protocol)Phạm vi cổng(Port range)NguồnCho phép từ chối
100Tất cả lưu lượng truy cậpTẤT CẢTẤT CẢ0.0.0.0/0Cho phép
101Tất cả lưu lượng truy cậpTẤT CẢTẤT CẢ:: / 0Cho phép
*Tất cả lưu lượng truy cậpTẤT CẢTẤT CẢ0.0.0.0/0Phủ nhận
*Tất cả lưu lượng truy cậpTẤT CẢTẤT CẢ:: / 0Phủ nhận

Bảng trên là bảng ACL Mạng mặc định được liên kết với một mạng con. Quy tắc số 100 nói rằng tất cả lưu lượng IPv4 đều được phép. Quy tắc số 101 nói rằng tất cả lưu lượng IPv6 đều được phép. Quy tắc số ‘*’ nói rằng tất cả các traffiic đều bị từ chối

4.2 Mạng tùy chỉnh ACL

Mạng ACL tùy chỉnh là một ACL Mạng do người dùng xác định và theo mặc định, nó từ chối tất cả lưu lượng truy cập vào và ra cho đến khi bạn thêm các quy tắc.

Qui định #KiểuGiao thứcPhạm vi cổngNguồnCho phép từ chối
*Tất cả lưu lượng truy cậpTẤT CẢTẤT CẢ0.0.0.0/0Phủ nhận
*Tất cả lưu lượng truy cậpTẤT CẢTẤT CẢ:: / 0Phủ nhận

Bảng trên là bảng mặc định của Mạng ACL từ chối tất cả lưu lượng. Bạn cần tự thêm quy tắc để cho phép hoặc từ chối lưu lượng truy cập.

5. Tạo mạng ACL

  • Đăng nhập vào Bảng điều khiển quản lý AWS.
  • Chuyển sang dịch vụ VPC trong Mạng và Cung cấp Nội dung.
  • Nhấp vào VPC của bạn xuất hiện ở phía bên trái của bảng điều khiển.
  • Trong các chủ đề trước, chúng ta đã tạo một VPC tùy chỉnh và tên của nó là cafedevvpc.
  • Nhấp vào mạng ACL xuất hiện ở phía bên trái của bảng điều khiển.
  • Nhấp vào tạo Mạng ACL.
  • Điền vào các chi tiết sau để tạo mạng ACL.
  • Màn hình bên dưới cho thấy Network_ACL đã được tạo.

Cài ứng dụng cafedev để dễ dàng cập nhật tin và học lập trình mọi lúc mọi nơi tại đây.

Tài liệu từ cafedev:

Nếu bạn thấy hay và hữu ích, bạn có thể tham gia các kênh sau của cafedev để nhận được nhiều hơn nữa:

Chào thân ái và quyết thắng!

Đăng ký kênh youtube để ủng hộ Cafedev nha các bạn, Thanks you!