為什麼 Amazon EC2 上有安全組和 iptables？

我最近偶然發現我的 EC2 實例存在防火牆問題。TCP 埠通過 EC2 安全組提供給所有人，但是仍然使用 iptables 進行實例端過濾。我想如果有什麼安全組只是 IPTables 的一個花哨的 API。事實證明，據我所知，它們完全是完全執行的。有什麼理由同時使用兩者嗎？一個防火牆應該足夠多，而增加另一層複雜性似乎是一個等待發生的令人頭疼的問題。

與此同時，我正在考慮要麼打開我的安全組中的所有埠，然後通過 iptables 進行所有過濾，或者相反，禁用 iptables 並使用安全組過濾。

關於我的邏輯是否有缺陷的任何回饋？我錯過了一些關鍵的東西嗎？

安全組不會給您的伺服器增加任何負載 - 它們在外部進行處理，並阻止進出您的伺服器的流量，與您的伺服器無關。這提供了出色的第一道防線，比伺服器上的防線更具彈性。

但是，安全組對狀態不敏感，例如，您不能讓它們自動響應攻擊。IPTables 非常適合更動態的規則——要麼適應某些場景，要麼提供更細粒度的條件控制。

理想情況下，您應該使用兩者來互補 - 使用您的安全組阻止所有可能的埠，並使用 IPTables 來監管剩餘埠並防止攻擊。

引用自：https://serverfault.com/questions/286665