安全组(在AWS上)和iptables之间的区别

9

我只是设置一台服务器,想知道是否需要两次设置防火墙。例如,我有一个具有以下打开端口的安全组:80、443、22

现在,我用UFW(iptables的前端)设置服务器。我是否必须在这里再次设置我的端口,或者只在没有安全组或两者都在iptables中设置它?

有区别或优点/缺点吗?

linux  nginx  amazon-web-services  security-groups 
内波·扎纳特
source
5
两者兼具意味着您需要管理更多内容,但是如果您将两者中的一项相去甚远,则可以保护您。在AWS级别被阻止的流量永远不会进入您的实例,这可能会很有帮助。
ceejayoz
1
Nginx是否包括UFW?我以为Nginx仅包括Nginx。UFW似乎是iptables的前端。如果正确设置了安全组(并可能对其进行了测试),则同时使用这两个安全组是没有好处的,但是正如ceejayoz所说,它提供了第二道保护。我个人不打扰。
蒂姆(Tim)
感谢您的回答。抱歉,我是说它已安装在Ubuntu上。
Nepo Znat

Answers:

7

正如Tim所评论的那样,UFW是iptables的前端,因此您应该将iptables功能与Amazon Security Groups进行真正的比较。

对我而言,SG的主要优势是与AWS基础架构的集成。它允许您使用Amazon CloudFormation构建整个堆栈,并通过API等获取有关打开/关闭的端口/地址的详细信息。缺点-它已被供应商锁定,这意味着如果您决定更改托管服务提供商,将需要重做一切。

首先,检查Amazon VPC限制。如果您的规则数量在限制范围内,并且您的案子不需要任何特殊的东西,例如iptables实施的NAT,那么仅使用Amazon SG并保持UFW足够就可以了。您也可以检查此问题以了解更多详细信息: 为什么Amazon EC2上同时具有安全组和iptables?

厌恶
source
感谢您的回答。我决定同时使用两者。-SG和iptables。
Nepo Znat
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.