- NACL bir çeşit firewall dur ve Private veya Public Subnetlere erişimi kontrol eder.
- Security group ise instance seviyesinde uygulanır. Instance Vm veya CT. Security groupları bir veya daha fazla instance a uygulanabilir.
Mesela Security Group aynı subnet içinde 2 Vm e uygulanmış 3ncüsüne uygulanmamış ise subnet içinde geçen trafiklere NACL müdahale etmez ancak Security Group engelleyebilir.
Örneğin “Security Group A” kuralları iki farklı subnette ki instancelara uygulanabilir.
Uygulama NACL :
Daha sonra ACL i seçtiğimizde alt tarafta tablar ile inbound ve outbound kural ayarlamalarını görüyoruz.
- Her rulein bir numarası vardır.
- Buradan edit dedikten sonra yeni bir kural ekleyebiliriz numara sırasıyla listede duracaktır.
- Hiç bir kurala uymaz ise paket en sonda bu satır “deny” ile paketi düşürecektir.
Default NACL ler herhangi bir kısıtlama getirmezler ancak security group ayarları paketleri yinede engeller.
Uygulama Security Group:
Yine yan menüden security group u seçip yine inbound ve outbound kurallarını görebiliriz. Security groupları her bir VPC için oluşturulabilir.
Default inbound rule aşağıda ki gibidir.
OK ile gösterilen yerde görüleceği üzere tüm paketlere ancak Security groubun kendisinden geliyorsa izin veriliyor. Dışardan gelenler bu security grubunun atandığı instancelara ulaşamıyorlar.
Default outbound rule da ise dışarı 0.0.0.0/0 a giden her pakete sınırsız izin var.
Karşılaştıracak olursak
| Security Group | Network ACLs |
| Instance in network interface’i seviyesindedir. | Subnet seviyesindedir |
| Sadece Allow kurallarına izin verir. | Hem Allow hemde Deny kurallarına izin verir. |
| Stateful | Stateless |
| Her kuralı mutlaka kontrol eder. | Kuralları sırasıyla kontrol eder. (iptables gibi) |
| Sadece groupla bağlanmış instance a uygulanır | Bağlandığı subnetteki tüm instancelara uygulanır. |