В чем разница между NAT-шлюзом и ACL с заблокированным входящим трафиком

Question

Я читаю о aws VP C и пытаюсь найти какой-либо смысл использовать NAT. Если я правильно понимаю, NAT используется, когда у нас есть VP C с двумя подсетями: publi c и private. И если мы хотим разрешить частному su bnet делать запросы к глобальной сети (например, для обновлений программного обеспечения), но блокировать все входящие трафик c - мы можем настроить NAT в publi c su bnet и подключить этот NAT с личным су bnet.

Но в то же время мы можем просто создать ACL для частного su bnet и заблокировать все входящие трафики c. Таким образом, он сможет загружать обновления программного обеспечения, если это необходимо.

Итак, если все вышесказанное верно, зачем нам нужен NAT?

Answer 1

Список управления доступом к сети (NACL) равен без состояния . Это означает, что правила применяются в обоих направлениях. Таким образом, в вашем сценарии трафик c будет заблокирован в в обоих направлениях .

В общем случае не нужно использовать NACL. Есть некоторые подходящие варианты использования (например, создание DMZ), но они редки.

Вы можете, если вы будете sh, поместить все в паблик c su bnet и просто использовать Группы безопасности для контроля доступа. Это будет хорошо работать, потому что входящие и исходящие правила могут быть настроены отдельно. Тем не менее, многим нравится традиционная концепция частного su bnet для придания дополнительного чувства безопасности.