我最近偶然发现了我的EC2实例的防火墙问题。 TCP端口通过EC2安全组提供给所有人,但仍然使用iptables进行实例端过滤。 我想如果有什么安全组只是IPTables的一个奇特的API。 事实certificate,他们完全是从我所知道的。 有什么理由同时使用? 一个防火墙应该是足够的,添加另一个复杂的层似乎是一个头痛,只是等待发生。
与此同时,我打算或者打开我的安全组中的所有端口,然后通过iptables进行所有过滤,或者反过来,禁用iptables并使用安全组过滤。
任何关于我的逻辑是否有缺陷的反馈? 我是否缺less重要的东西?
安全组不会为您的服务器增加负载 – 它们是在外部处理的,并且阻止与您的服务器之间的stream量,而与服务器无关。 这提供了一个卓越的第一道防线,比你服务器上的防线更有弹性。
但是,安全组不是状态敏感的,您不能让他们自动响应攻击。 IPTables非常适合更dynamic的规则 – 适应某些情况,或提供更细粒度的条件控制。
理想情况下,您应该使用两者来相互补充 – 阻止您的安全组所有可能的端口,并使用IPTables来监视其余的端口并防止攻击。
在正常的networking场景中考虑安全组,如硬件防火墙。 我想你不会真的必须使用这两个,除非你有一个特殊的情况,例如:你有一个名为webservers的安全组,控制访问Web服务器。 你想阻止一个IP在端口80上的服务器之一 ,但不是全部。 所以你想要做的就是在这台服务器上进入iptables,并执行该块,而不是在安全组中执行该操作,该安全组将应用于该安全组中的所有服务器。
它们都很容易build立起来,并且都设置了保护,以防止其中一个漏洞或缺陷。