主要观点：AWS 从业者推荐使用 AWS NACLs、VPC 和 AWS 安全组的正确组合来 24 小时保护资源免受不必要的攻击，需了解 NACLs 的基本特征和微调流量的能力。
关键信息：

• AWS NACLs 是相关子网的防火墙，控制入站和出站流量，且为无状态，与有状态的安全组不同，配置时需分别添加入站和出站规则。
• 创建 VPC 时自带默认网络 ACL 允许所有入站和出站规则，创建自定义 NACL 则默认拒绝，配置时要注意默认网络 ACL 尤其与生产服务器相关的情况。
• 在 VPC 中使用 NACLs 和安全组相互补充可降低应用攻击面，如两层 Web 应用中不同层级的安全组和 NACL 规则配合。
• 要注意无效的 NACL“拒绝”规则可能导致过度许可访问从而引发攻击，需注意规则顺序。
• 配置 NACLs 前要了解其限制，如入站和出站规则默认各 20 条，最多 40 条等。
• 要注意 NACLs 上不受限制的出站流量，限制对所需端口的访问。
• 配置 NACLs 时有一些规则不能忽略，如按升序读取规则、定义基于目的地端口的规则等。
• NACLs 可作为第二层防御，需根据不同场景配置，还可使用 Terraform 编程规则，同时要持续检查以提高 AWS 安全态势。
  重要细节：
• 举例说明在公共子网中为实例分配允许特定端口流量的 NACL 及阻止特定端口流量的 NACL。
• 提及不同的 VPC 场景及相关文档，如包含单个公共子网等场景。
• 强调使用单一可视化控制台如 TotalCloud 分析和展示整个 AWS 网络拓扑的重要性。