

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Transit Gateway 中傳輸閘道的網路 ACLs
<a name="tgw-nacls"></a>

網路存取控制清單 (NACL) 是選擇性的安全性層。

網路存取控制清單 (NACL) 規則會以不同方式套用，視案例而定：
+ [EC2 執行個體和傳輸閘道關聯的相同子網路](#nacl-tgw-same-subnet)
+ [EC2 執行個體和傳輸閘道關聯的不同子網路](#nacl-tgw-different-subnet)

## EC2 執行個體和傳輸閘道關聯的相同子網路
<a name="nacl-tgw-same-subnet"></a>

考慮這樣一個組態，即在相同子網路中擁有 EC2 執行個體和傳輸閘道關聯。相同的網路 ACL 用於從 EC2 執行個體到傳輸閘道的流量，以及從傳輸閘道到執行個體的流量。

針對從執行個體到傳輸閘道的流量，NACL 規則按以下進行套用：
+ 傳出規則使用目的地 IP 地址進行評估。
+ 傳入規則使用來源 IP 地址進行評估。

針對從傳輸閘道執行個體的流量，NACL 規則按以下方式進行套用：
+ 傳出規則不會進行評估。
+ 傳入規則不會進行評估。

## EC2 執行個體和傳輸閘道關聯的不同子網路
<a name="nacl-tgw-different-subnet"></a>

考慮這樣一個組態，即在一個子網路中擁有 EC2 執行個體，而傳輸閘道關聯位於不同子網路中，並且每個子網路都與不同的網路 ACL 相關聯。

網路 ACL 規則按如下 EC2 執行個體子網路的方式進行套用：
+ 傳出規則使用目的地 IP 地址評估從執行個體到傳輸閘道的流量。
+ 傳入規則使用來源 IP 地址評估從傳輸閘道到執行個體的流量。

針對傳輸閘道子網路，NACL 規則按以下方式進行套用：
+ 傳出規則使用目的地 IP 地址評估從傳輸閘道到執行個體的流量。
+ 傳出規則不用於評估從執行個體到傳輸網關的流量。
+ 傳入規則使用來源 IP 地址評估從執行個體到傳輸閘道的流量。
+ 傳入規則不用於評估從傳輸閘道到執行個體的流量。

## 最佳實務
<a name="nacl-best-practices"></a>

為每個傳輸閘道 VPC 連接使用個別子網路。對於每個子網路，請使用小型 CIDR (例如 /28)，以便擁有 EC2 資源的更多位址。當您使用獨立的子網路時，您可以設定下列項目：
+ 保持與傳輸閘道子網路相關聯的輸入和輸出 NACL 之開啟。
+ 視您的流量而定，您可以將 NACL 套用至工作負載子網路。

如需 VPC 連接運作方式的詳細資訊，請參閱 [資源連接](how-transit-gateways-work.md#tgw-attachments-overview)。