Списки управления доступом к сети (ACL) имитируют традиционные брандмауэры , реализованные на аппаратных маршрутизаторах. Такие маршрутизаторы используются для разделения подсетей и позволяют создавать отдельные зоны, например DMZ . Они чисто фильтруют на основе содержимого пакета. Это их работа.
Группы безопасности - это дополнительная возможность в AWS, которая предоставляет возможности, подобные брандмауэру на уровне ресурсов . (Чтобы быть точным, они прикреплены к эластичным сетевым интерфейсам, ENI). Они с состоянием , что означает, что они позволяют возвращать трафик.
Как правило, рекомендуется оставить NACL с настройками по умолчанию (разрешить весь трафик IN & OUT). Их следует изменять только в том случае, если существует особая необходимость блокировать определенные типы трафика на уровне подсети.
Группы безопасности - это идеальный способ управления трафиком с отслеживанием состояния, входящим и выходящим из ресурса, подключенного к VPC. Они являются способом создания брандмауэров с сохранением состояния. Нет другой такой возможности, предоставляемой VPC. Если вы хотите что-то другое, вы можете направлять трафик через экземпляр Amazon EC2, действующий как NAT, и тогда вы будете полностью контролировать его поведение.