本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用网络 ACL 控制流向 VPC Lattice 的流量
网络访问控制列表 (ACL) 在子网级别允许或拒绝特定的入站或出站流量。默认网络 ACL 允许所有入站和出站流量。您可以为子网创建自定义网络 ACL,以提供额外的安全层。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。
**Topics**
+ [您的客户端子网的网络 ACL](#network-acl-client-subnets)
+ [目标子网的网络 ACL](#network-acl-target-subnets)
## 您的客户端子网的网络 ACL
客户端子网的网络 ACL 必须允许客户端与 VPC Lattice 之间的流量。您可以从 VPC Lattice 的[托管前缀列表](security-groups.md#managed-prefix-list)中获取允许的 IP 地址范围。
以下是入站规则示例。
| 来源 | 协议 | 端口范围 | Comment |
| --- | --- | --- | --- |
| {{vpc\_lattice\_cidr\_block}} | TCP | 1025-65535 | 允许从 VPC Lattice 到客户端的流量 |
以下是出站规则的示例。
| 目标位置 | 协议 | 端口范围 | Comment |
| --- | --- | --- | --- |
| {{vpc\_lattice\_cidr\_block}} | {{listener}} | {{listener}} | 允许来自客户端的流量到莱迪思VPC |
## 目标子网的网络 ACL
目标子网的网络 ACL 必须允许目标端口和运行状况检查端口上的目标与 VPC Lattice 之间的流量。您可以从 VPC Lattice 的[托管前缀列表](security-groups.md#managed-prefix-list)中获取允许的 IP 地址范围。
以下是入站规则示例。
| 来源 | 协议 | 端口范围 | Comment |
| --- | --- | --- | --- |
| {{vpc\_lattice\_cidr\_block}} | {{target}} | {{target}} | 允许从 VPC 莱迪思到目标的流量 |
| {{vpc\_lattice\_cidr\_block}} | {{health check}} | {{health check}} | 允许从 VPC 莱迪思到目标的运行状况检查流量 |
以下是出站规则的示例。
| 目标位置 | 协议 | 端口范围 | Comment |
| --- | --- | --- | --- |
| {{vpc\_lattice\_cidr\_block}} | {{target}} | 1024-65535 | 允许从目标到 VPC Lattice 的流量 |
| {{vpc\_lattice\_cidr\_block}} | {{health check}} | 1024-65535 | 允许从目标到 VPC Lattice 的运行状况检查流量 |