Amazon-Ec2

我們是否需要 AWS EC2 中的安全組和伺服器端防火牆?

  • February 28, 2018

EC2 安全組看起來很棒,但我對 AWS 系統很陌生,這就是我問這個問題的原因。我是否還需要在擁有 AWS 安全組的同時設置伺服器防火牆?我的主要觀點是在AWS系統中,其他帳戶可以訪問我的伺服器嗎?因為如果所有 AWS 賬戶都在安全組內,那麼內部黑客攻擊是可能的???比如我的伺服器是www.abc.com,別人有伺服器賬號(www.hello.com),所以hello.com伺服器可以通過安全組過濾的埠訪問我的伺服器???

AWS 安全組就像 EC2 實例的防火牆,除非您更改安全組策略,否則同一 VPC 中的 AFAIK(並經過測試)2 台機器無法看到其內部網路中的埠。

例如

EC2 www.abc.com 具有私有 IP 10.10.10.5/24 EC2 www.hello.com 具有私有 IP 10.10.10.6/24

它們在同一個網路中,但除非您在網路 10.10.10.0/24(或主機 10.10.10.5、10.10.10.6)的安全組中添加入站規則,否則它們無法看到埠 22。

請考慮這一點,安全組策略應用於 EC2 而不是 VPC:

在 VPC 中啟動實例時,您最多可以為該實例分配五個安全組。安全組在實例級別而不是子網級別起作用。因此,您的 VPC 子網中的每個實例都可以分配給不同的安全組集

關於您的問題,除了安全組之外,我的 EC2 實例中是否需要防火牆(例如 IPTables)?答案取決於您想花多少時間來配置安全性以及您需要什麼,兩者都更安全並且它們可以相互補充,IPTables(或任何其他防火牆)允許您記錄可能的攻擊,甚至您可以添加動態但是,如果您要查找的只是阻止某些埠,我只會使用安全組配置…您應該檢查一下

引用自:https://serverfault.com/questions/899278