As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# ACLs de rede para gateways de trânsito no AWS Transit Gateway
Uma lista de controle de acesso à rede (NACL) é uma camada opcional de segurança.
As regras de lista de controle de acesso à rede (NACL) são aplicadas de forma diferente, dependendo do cenário:
+ [Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito](#nacl-tgw-same-subnet)
+ [Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito](#nacl-tgw-different-subnet)
## Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito
Considere uma configuração em que você tenha uma instâncias do EC2 e uma associação do gateway de trânsito que tenha a mesma sub-rede. A mesma ACL de rede é usada para o tráfego das instâncias do EC2 para o gateway de trânsito e o tráfego do gateway de trânsito para as instâncias.
As regras de NACL são aplicadas da seguinte maneira para o tráfego das instâncias para o gateway de trânsito:
+ As regras de saída usam o endereço IP de destino para avaliação.
+ As regras de entrada usam o endereço IP de origem para avaliação.
As regras de NACL são aplicadas da seguinte maneira para o tráfego do gateway de trânsito para as instâncias:
+ As regras de saída não são avaliadas.
+ As regras de entrada não são avaliadas.
## Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito
Considere uma configuração em que você tem instâncias do EC2 em uma sub-rede e uma associação de gateway de trânsito em uma sub-rede diferente, e cada sub-rede está associada a uma ACL de rede diferente.
As regras de ACL de rede são aplicadas da seguinte forma para a sub-rede da instância do EC2:
+ As regras de saída usam o endereço IP de destino para avaliar o tráfego das instâncias para o gateway de trânsito.
+ As regras de entrada usam o endereço IP de origem para avaliar o tráfego do gateway de trânsito para as instâncias.
As regras de NACL são aplicadas da seguinte maneira para a sub-rede do gateway de trânsito:
+ As regras de saída usam o endereço IP de destino para avaliar o tráfego do gateway de trânsito para as instâncias.
+ As regras de saída não são usadas para avaliar o tráfego das instâncias para o gateway de trânsito.
+ As regras de entrada usam o endereço IP de origem para avaliar o tráfego das instâncias para o gateway de trânsito.
+ As regras de entrada não são usadas para avaliar o tráfego do gateway de trânsito para as instâncias.
## Melhores práticas
Use uma sub-rede separada para cada anexo da VPC do gateway. Para cada sub-rede, use um CIDR pequeno, por exemplo /28, para que você tenha mais endereços para recursos do EC2. Ao usar uma sub-rede separada, é possível configurar o seguinte:
+ Mantenha aberta a NACL de entrada e saída associada às sub-redes do gateway de trânsito.
+ Dependendo do fluxo de tráfego, é possível aplicar NACLs às sub-redes de workload.
Para obter mais informações sobre como os anexos da VPC funcionam, consulte [Anexos de recursos](how-transit-gateways-work.md#tgw-attachments-overview).