Quelle est la différence entre une passerelle NAT et une ACL avec un trafic entrant bloqué ?

Question

Je me suis renseigné sur les VPC d'aws et j'essaie de trouver un sens à l'utilisation de la NAT. Si je comprends bien, le NAT est utilisé lorsque nous avons un VPC avec deux sous-réseaux : public et privé. Et si nous voulons permettre au sous-réseau privé de faire des demandes au réseau global (par exemple pour les mises à jour de logiciels), mais bloquer tout le trafic entrant - nous pouvons configurer le NAT dans le sous-réseau public et connecter ce NAT avec le sous-réseau privé.

Mais en même temps, nous pouvons simplement créer une ACL pour le sous-réseau privé et bloquer tout le trafic entrant. Ainsi, il sera en mesure de télécharger des mises à jour logicielles si nécessaire.

Donc, si tout ce qui précède est vrai, pourquoi avons-nous besoin de NAT ?

Answer 1

Une liste de contrôle d'accès au réseau (NACL) est apatride . Cela signifie que les règles sont appliquées dans les deux sens. Ainsi, dans votre scénario, le trafic serait bloqué en dans les deux sens .

En général, il ne devrait pas être nécessaire d'utiliser une NACL. Il existe quelques utilisations appropriées (comme la création d'une DMZ), mais elles sont rares.

Vous pourriez, si vous le souhaitez, tout mettre dans un sous-réseau public et utiliser simplement Groupes de sécurité pour contrôler l'accès. Cela fonctionnerait bien parce que les règles entrantes et sortantes peuvent être configurées séparément. Cependant, de nombreuses personnes préfèrent le concept traditionnel de sous-réseau privé pour donner un sentiment de sécurité supplémentaire.