NACL -> 네트워크에 대한 접근통제 ... 네트워크에 관련된 방화벽같은 것
보안그룹 -> 각각의 서버에 관련된 방화벽(사실 의미가 좀 다르긴함)
보안그룹
- 인스턴스 레벨의 접근 제어를 수행
- ec2 인스턴스나 alb 등과 같은 특정 대상에 대한 접근 제어 정책
- Stateful 접근 제어 동작 -> 이전 상태 정보를 기억하고 있으며, 인바운드로 들어오는 트래픽이 허용되면 아웃바운드로 돌아갈 때 규칙 상관 없이 허용
네트워크 ACL
- 서브넷 레벨의 접근 제어를 수행
-VPC 내부에 생서한 서브넷 네트워크에 대한 접근 제어 정책
- Stateless 접근 제어 동작 (아웃바운드 규칙을 허용할지 거부할지 결정)
기본적으로 만들면 서브넷 별로 다른 방화벽 정책을 세우고 싶을땐 새로 만들어야함. 또한 새로 만들면 모든곳에 디나이 되어있어서 acl 설정을 변경해줘야함. 보안그룹을 만져도 acl이 먼저 트래픽을 받아서 디나이 되는건 똑같음.
+) 대역들 제어가 가능함.
그런데 같이 사용하면 섞여서 미쳐버림
고로 하나만 선택해서 사용하는게 좋음
