Subnets lassen sich einteilen in
Network ACLs (Access Control list) filtern den Netzwerkverkehr zu den Subnets. ACLs filtern stateless, d.h. die vorherigen Packages werden nicht beachtet.
Security Groups sind virtuelle Firewalls um die Amazon EC2 Instanzen. Security Groups filtern stateful, d.h. die vorherigen Packages werden beachtet (Bsp.: die Response von einem Request der EC2 Instanz wird nicht gefiltert)