我們是否需要 AWS EC2 中的安全組和伺服器端防火牆？

EC2 安全組看起來很棒，但我對 AWS 系統很陌生，這就是我問這個問題的原因。我是否還需要在擁有 AWS 安全組的同時設置伺服器防火牆？我的主要觀點是在AWS系統中，其他帳戶可以訪問我的伺服器嗎？因為如果所有 AWS 賬戶都在安全組內，那麼內部黑客攻擊是可能的？？？比如我的伺服器是www.abc.com，別人有伺服器賬號（www.hello.com），所以hello.com伺服器可以通過安全組過濾的埠訪問我的伺服器？？？

AWS 安全組就像 EC2 實例的防火牆，除非您更改安全組策略，否則同一 VPC 中的 AFAIK（並經過測試）2 台機器無法看到其內部網路中的埠。

例如

EC2 www.abc.com 具有私有 IP 10.10.10.5/24 EC2 www.hello.com 具有私有 IP 10.10.10.6/24

它們在同一個網路中，但除非您在網路 10.10.10.0/24（或主機 10.10.10.5、10.10.10.6）的安全組中添加入站規則，否則它們無法看到埠 22。

請考慮這一點，安全組策略應用於 EC2 而不是 VPC：

在 VPC 中啟動實例時，您最多可以為該實例分配五個安全組。安全組在實例級別而不是子網級別起作用。因此，您的 VPC 子網中的每個實例都可以分配給不同的安全組集

關於您的問題，除了安全組之外，我的 EC2 實例中是否需要防火牆（例如 IPTables）？答案取決於您想花多少時間來配置安全性以及您需要什麼，兩者都更安全並且它們可以相互補充，IPTables（或任何其他防火牆）允許您記錄可能的攻擊，甚至您可以添加動態但是，如果您要查找的只是阻止某些埠，我只會使用安全組配置…您應該檢查一下

引用自：https://serverfault.com/questions/899278