AWS EC2 實例：安全組和防火牆

在 EC2 實例上，您可以將安全組配置為具有與防火牆規則相同的內容（例如，預設丟棄所有流量，並選擇性地允許基於埠的入站或出站流量）。以前我使用過其他服務，例如 DigitalOcean，我只是在登錄到實例後向防火牆（例如 UFW）添加一些規則。

對於 EC2 實例，我是否應該只通過安全組配置防火牆規則，而不接觸實例上執行的防火牆軟體（例如，一旦我登錄系統，不配置 ufw 或 iptables）？

我想確保我已正確設置此設置，並且如果同時使用安全組和基於主機的防火牆，我不會意外地強制流量通過 2 組防火牆規則。

我的預感是，任何一種方法，或者兩者的結合都可以工作（只要沒有重複的規則就可以了）。這是正確的嗎？如果可能的話，我想簡單地使用安全組。

您可以根據需要使用盡可能少的可用防火牆。深度防禦表明不止一層可以提高安全性。

據我所知，以下是每一個的內容：

• 網路 ACL (NACL) 最類似於傳統防火牆。您必須分別定義傳入和傳出規則。我懷疑 NACL 不是在實例上執行，而是網路上某處的設備。如果這是正確的，使用 NACL 拒絕大量流量可能會略微提高實例性能，因為安全組和 IPTables 不必使用 CPU 時間來執行此操作。
• 安全組是有狀態的防火牆。如果您允許傳入流量，則自動允許傳出響應，反之亦然。SG 在每台伺服器的管理程序中執行。
• IPTables 等（我認為）是無狀態的，因此您可以定義每個方向的規則。這些在您的實例上的作業系統內執行。

我個人使用安全組作為我的主要防火牆，因為它們最容易設置和使用。我也有fail2ban 使用此設置將規則放入 CloudFlare 防火牆以防止錯誤的 IP 訪問伺服器。

引用自：https://serverfault.com/questions/910415