上一篇我們提到了Security Group(SG)，這一篇我們來講Network Access Control List(NACL)。

什麼是NACL?
Network Access Control List(NACL)是作用在VPC層級可選用的安全防護選項，可作為防火牆來阻擋進出子網域的流量。

• 您的VPC 自動帶有可修改的預設NACL。預設情況下，它允許所有入站和出站 IPv4 流量以及 IPv6 流量。
• 您可以創建自定NACL 並將其與子網路關聯。預設情況下，每個自定義NACL 都會拒絕所有入站和出站流量，直到您添加規則。
• 您的 VPC 中的每個子網路都必須與一個NACL 相關聯。如果您沒有明確地將子網路NACL 相關聯，子網路將自動與預設NACL 相關聯。
• 您可以將一個NACL 與多個子網路關聯。但是，一個子網路一次只能與一個NACL 相關聯。 當您將NACL 與子網路關聯時，先前的關聯將被刪除。
• NACL 具有單獨的入站和出站規則，每個規則可以允許或拒絕流量(SG只能設定允許規則)。
• NACL是無狀態(stateless)的，這代表對允許的入站流量的回應受出站流量規則的約束，反之亦然(SG是stateful)。

怎麼佈建NACL?
1.找到VPC，在側邊選單Security底下選Network ACLs

2.按Create network ACL

3. Network ACL settings 輸入名稱，以及選擇你要設定的VPC。Tag的部分可做標記，填完之後按Create network ACL

4.回到NACL列表，找到剛剛建立的NACL點進去，你就可以針對In/Outbound rules進行編輯，來去限制那些流量可流入/流出

小結
如果還是搞不清楚SG跟NACL的話，簡單來說兩者都是控管流量的服務，但SG是作用於Instance上是Stateful且只能設立允許規則，而NACL是作用於VPC是Stateless可設立允許以及拒絕規定。