服务器级防火墙和AWS安全组之间的区别？

安全组是有状态的，答复stream量是自动允许的。 安全组可以应用于许多实例。 应用后，规则可以随时更改，但不能更改实例所在的组。安全组是在pipe理程序级别实施的。

networkingACL是无状态的，因此您必须为每个方向指定规则。 NACL适用于一个或多个子网。 规则可以随时更改。 NACL在networking级应用。 在某些情况下，您必须明确添加更高的端口以允许回复 – 请参阅此处 。

在一个实例上运行的软件防火墙在OS内运行，因此占用你的CPU周期。 我个人不会在AWS中使用这些function，因为所提供的function已经足够了。

传统的硬件防火墙不能在AWS中使用，但是相当于NACL。

我主要使用安全组，因为它们最容易使用。 如果你有很多额外的stream量击中你的实例，理论上可以通过添加NACL来减less机器的工作。 使用这两个是矫枉过正，但不伤害，可能会稍微增加你的安全。

安全组充当控制一个或多个实例的stream量的虚拟防火墙。 启动实例时，将一个或多个安全组与实例相关联。 您将规则添加到每个安全组，允许来自或关联相关实例的stream量。 您可以随时修改安全组的规则; 新规则将自动应用于与安全组关联的所有实例。

服务器防火墙通常是一个旨在防止未经授权访问专用networking的系统。 您可以使用硬件或软件forms实施防火墙，也可以将两者结合使用。 防火墙可防止未经授权的Internet用户访问连接到Internet的专用networking，特别是内联网。

组主要是不同的，因为如果你有服务器A，B，C，D你可以做一个组，允许服务器A + B + C所有的交谈，但D不能。 你可以把所有的服务器放在同一个“防火墙”后面，这个防火墙对于networking中的所有东西通常是全局的。

一个安全组可以应用于多个服务器。 语法与防火墙类似，但是您也可以应用来自不同安全组的源/目标。 所以在这个意义上更像是一个模板。

然而，安全组仅适用于入站stream量，像iptables这样的服务器防火墙，可以为inboud，outbound，nat等提供更多的configuration。

当你应该使用或其他？！ 这取决于您对基本防火墙的要求，您可以将AWS中的安全组用于更复杂的场景，因为您有更多的select，所以本地防火墙更合适。

在一个体面的安全网站的实践中，您可能会同时使用这两个虽然增加复杂性

软件防火墙也受到影响，如果服务器被攻破，防火墙也是如此，尽pipe我通常比传出stream量更感兴趣。

在企业中：由服务器pipe理员pipe理的软件防火墙。 Aws（或私有云中的硬件）将由networkingpipe理员或安全团队处理。