Firewall opcional a nivel de subred en AWS. Evalúa reglas en orden numérico y puede permitir o denegar tráfico. Stateless: las reglas de entrada y salida son independientes; debes definir ambas explícitamente.
En SAA-C03 la diferencia clave con Security Groups: NACL es stateless (debes definir reglas de entrada Y salida), opera a nivel de subred y puede denegar tráfico explícitamente. Útil para bloquear IPs específicas. Por defecto: permite todo el tráfico.