19 最近,我偶然发现EC2实例出现防火墙问题。TCP端口已通过EC2安全组提供给所有人,但是仍然存在使用iptables进行实例侧过滤的操作。我发现安全组是否只是IPTables的理想API。事实证明,据我所知,它们完全是在完全运行。有什么理由同时使用两者吗?一个防火墙应该足够多,而增加另一层复杂性似乎只是在等待发生。 同时,我正在考虑打开我的安全组中的所有端口,然后通过iptables进行所有筛选,或者相反,禁用iptables并使用安全组筛选。 关于我的逻辑是否有缺陷的任何反馈?我错过了重要的事情吗? amazon-ec2 — 有想象力的 source
20 安全组不会给您的服务器增加任何负载-它们是在外部进行处理的,并且独立于您的服务器阻止与服务器之间的通信。这提供了卓越的第一道防线,它比服务器上的防线更具弹性。 但是,安全组不是状态敏感的,例如,您不能让它们自动响应攻击。IPTable非常适合于更动态的规则-适应某些情况,或提供更精细的条件控制。 理想情况下,您应该同时使用两者来互补-阻止安全组使用所有可能的端口,并使用IPTables监管其余端口并防御攻击。 — Cyberx86 source
2 在正常联网情况下,可以将安全组视为硬件防火墙。我想除非您有特殊情况,否则您实际上并不需要同时使用两者,例如:您有一个名为webservers的安全组,用于控制对Web服务器的访问。您想阻止IP到达其中一台服务器上的端口80,但不是全部。因此,您要做的就是进入一台服务器上的iptables并执行阻止操作,而不是在安全组中执行此操作,这将应用于该安全组中的所有服务器... — BenGC source 一个人会一次使用安全组,网络acl和iptables规则吗? — CMCDragonkai