เครือข่าย· ~16 นาที
Security Groups vs Network ACLs
ไฟร์วอลล์ 2 ระดับ: stateful vs stateless
Security Group เหมือน รปภ.ประจำตัวที่ติดตามแต่ละคน (instance) — จำได้ว่าใครออกไปก็ให้กลับเข้าได้. NACL เหมือน รปภ.ที่ประตูรั้วของทั้งหมู่บ้าน (subnet) — ตรวจทุกคนที่ผ่านเข้า-ออกตามรายชื่อ
ไฟร์วอลล์ 2 ชั้น: NACL ที่ขอบ subnet, SG ที่ตัวเครื่อง
Traffic
NACL (ระดับ subnet · stateless)
SG (ระดับเครื่อง · stateful)
EC2
Security Group — stateful (จำ connection ขาเข้า-ออก), มีแต่ allow
NACL — stateless (ต้องเปิดทั้งขาเข้า/ออก), มีทั้ง allow และ deny
Security Group Rule Builder
SG อนุญาตเฉพาะสิ่งที่มีกฎ allow ตรงกัน (ที่เหลือบล็อกหมด) — เพิ่มกฎแล้วลองยิง traffic ทดสอบดู
Inbound Rules
ALLOW · port 443 · 0.0.0.0/0
เพิ่มกฎสำเร็จรูป:
ทดสอบ traffic
ถูกบล็อก — ไม่มีกฎ allow ที่ตรงกัน
จุดต่างที่ต้องจำ
- Security Group อยู่ระดับ instance/ENI · stateful (อนุญาตขาเข้าแล้ว ขาออกที่ตอบกลับผ่านอัตโนมัติ) · มีแต่กฎ allow
- NACL อยู่ระดับ subnet · stateless (ต้องเปิดทั้งขาเข้าและขาออกเอง) · มีทั้ง allow และ deny และประเมินตามลำดับเลขกฎ
- ค่าเริ่มต้น: SG บล็อกขาเข้าทั้งหมด/อนุญาตขาออกทั้งหมด · default NACL อนุญาตทุกอย่าง
สรุป Key Takeaways
- SG = ระดับเครื่อง, stateful, allow อย่างเดียว
- NACL = ระดับ subnet, stateless, มีทั้ง allow/deny
- จะบล็อก IP เจาะจงต้องใช้ NACL; งานทั่วไปใช้ SG
ลองทำ Quiz ท้ายบท
คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที
อ่านจบแล้วอย่าลืมทำเครื่องหมาย

