Amazon-Ec2

AWS EC2 實例:安全組和防火牆

  • May 2, 2018

在 EC2 實例上,您可以將安全組配置為具有與防火牆規則相同的內容(例如,預設丟棄所有流量,並選擇性地允許基於埠的入站或出站流量)。以前我使用過其他服務,例如 DigitalOcean,我只是在登錄到實例後向防火牆(例如 UFW)添加一些規則。

對於 EC2 實例,我是否應該只通過安全組配置防火牆規則,而不接觸實例上執行的防火牆軟體(例如,一旦我登錄系統,不配置 ufw 或 iptables)?

我想確保我已正確設置此設置,並且如果同時使用安全組和基於主機的防火牆,我不會意外地強制流量通過 2 組防火牆規則。

我的預感是,任何一種方法,或者兩者的結合都可以工作(只要沒有重複的規則就可以了)。這是正確的嗎?如果可能的話,我想簡單地使用安全組。

您可以根據需要使用盡可能少的可用防火牆。深度防禦表明不止一層可以提高安全性。

據我所知,以下是每一個的內容:

  • 網路 ACL (NACL) 最類似於傳統防火牆。您必須分別定義傳入和傳出規則。我懷疑 NACL 不是在實例上執行,而是網路上某處的設備。如果這是正確的,使用 NACL 拒絕大量流量可能會略微提高實例性能,因為安全組和 IPTables 不必使用 CPU 時間來執行此操作。
  • 安全組是有狀態的防火牆。如果您允許傳入流量,則自動允許傳出響應,反之亦然。SG 在每台伺服器的管理程序中執行。
  • IPTables 等(我認為)是無狀態的,因此您可以定義每個方向的規則。這些在您的實例上的作業系統內執行。

我個人使用安全組作為我的主要防火牆,因為它們最容易設置和使用。我也有fail2ban 使用此設置將規則放入 CloudFlare 防火牆以防止錯誤的 IP 訪問伺服器。

引用自:https://serverfault.com/questions/910415