Amazon-Ec2
為什麼 Amazon EC2 上有安全組和 iptables?
我最近偶然發現我的 EC2 實例存在防火牆問題。TCP 埠通過 EC2 安全組提供給所有人,但是仍然使用 iptables 進行實例端過濾。我想如果有什麼安全組只是 IPTables 的一個花哨的 API。事實證明,據我所知,它們完全是完全執行的。有什麼理由同時使用兩者嗎?一個防火牆應該足夠多,而增加另一層複雜性似乎是一個等待發生的令人頭疼的問題。
與此同時,我正在考慮要麼打開我的安全組中的所有埠,然後通過 iptables 進行所有過濾,或者相反,禁用 iptables 並使用安全組過濾。
關於我的邏輯是否有缺陷的任何回饋?我錯過了一些關鍵的東西嗎?
安全組不會給您的伺服器增加任何負載 - 它們在外部進行處理,並阻止進出您的伺服器的流量,與您的伺服器無關。這提供了出色的第一道防線,比伺服器上的防線更具彈性。
但是,安全組對狀態不敏感,例如,您不能讓它們自動響應攻擊。IPTables 非常適合更動態的規則——要麼適應某些場景,要麼提供更細粒度的條件控制。
理想情況下,您應該使用兩者來互補 - 使用您的安全組阻止所有可能的埠,並使用 IPTables 來監管剩餘埠並防止攻擊。