安全组与网络ACL区别

通过配置网络ACL和安全组策略，保障VPC内的弹性云服务器安全使用。

如图1所示。

图 1 安全组与网络ACL

网络ACL和安全组区别如表1所示。

表 1 安全组和网络ACL

对比项	安全组	网络ACL
防护对象	弹性云服务器级别操作。	子网级别操作。
配置策略	支持允许、拒绝策略。拒绝策略部分区域支持，具体请打开功能总览，并选择 “安全组”查看。	支持允许、拒绝策略。
优先级	多个规则冲突，先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。安全组优先级部分区域支持，具体请打开功能总览，并选择 “安全组”查看。	多个规则冲突，优先级高的规则生效，优先级低的不生效。
应用操作	创建弹性云服务器默认必须选择安全组，默认安全组自动应用到弹性云服务器。	创建子网没有网络ACL选项，必须创建网络ACL、添加关联子网、添加出入规则，并启用网络ACL，才可应用到关联子网及子网下的弹性云服务器。
报文组	仅支持报文三元组（即协议、端口和对端地址）过滤。	支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤。

Provide feedback