Amazon web services 防火墙：当出站规则已经存在时，从服务器获取SYN-ACK是否需要入站规则？

我有一个VPC，其中有一个EC2实例部署在私有子网中

我有我的NACL（子网防火墙）允许所有入站和出站

我有我的安全组规则（Ec2防火墙），它阻止入站规则上的公共ip，并允许出站规则上的公共世界

现在，我的EC2实例启动到呼叫提供商（twilio）的连接，并启动一个呼叫，并且成功了

在我的ec2应用程序中，它启动一个三方握手，因为我的出站规则是允许它通过NAT到达twilio。 数据包类似（源Ip:NAT Ip和随机端口号，目标Ip:twilio Ip和服务侦听端口号）

twilio然后接受请求并向ec2服务器提供SYN-ACK响应。 现在数据包将是（源ip:twilio ip和随机端口号，目标ip:Ec2实例的NAT ip，端口号是（Ec2源启动的随机端口号）

---

现在我的问题是，尽管入站规则不允许twilio ip地址，但三方握手是如何成功的？

通过谷歌搜索得到的

防火墙保护使用状态检查来跟踪当前连接。状态检查跟踪源和目标IP地址、端口、应用程序和其他连接信息。在客户端检查防火墙规则之前，它会根据连接信息做出流量决策

---

例如，如果防火墙规则允许计算机连接到Web服务器，则防火墙会记录连接信息。当服务器回复时，防火墙发现预期会有Web服务器对计算机的响应。它允许Web服务器流量流向启动计算机，而无需检查规则库。在防火墙记录连接之前，规则必须允许初始出站流量。

请注意，堆栈溢出用于编程问题，而不是一般计算问题。问题可能适用于或，但在发布前请检查他们的帮助。