防火墙:当出站规则已经存在时，从服务器获得SYN是否需要入站规则？

Question

我有一个VPC，其中有一个在私有子网中部署的EC2实例。

我有我的NACL(子网防火墙)允许所有入站和出站。

我有我的安全组规则(Ec2防火墙)，它阻止入站规则上的公共ip，并允许在出站规则上进入公共世界。

现在，我的EC2实例启动到调用提供者(Twilio)的连接，并启动一个调用，它就成功了。

数据包将类似于(源Ip:是NAT ip和随机端口号以及目的地ip: twilio ip和服务侦听端口号)

现在分组将是(源ip: twilio和随机端口号和目的地ip: is Ec2实例的NAT ip和端口号is (Ec2源发起的随机端口号)。)

现在我的问题是，即使入站规则不允许twilio ip地址，三路握手是如何成功的？

Answer 1

AWS安全组是有状态的。

如果从实例发送请求，则允许该请求的响应通信量流入，而不考虑入站安全组规则。无论出站规则如何，都允许对允许入站通信量的响应流出。

即使您通过安全组阻止公共IP地址入站，您也允许出站连接，它允许返回流量/握手。

引用

VPC安全组