如果我通过安全组阻止流量,我认为我不需要为此付费。
但是,如果我通过安装在我的服务器上的 iptables 阻止流量,那么我认为我需要为阻止的任何传入流量付费。
iptables 可以做而安全组不能做的事情有哪些?
我之所以问这个问题,是因为我正在研究如何缓解针对我的 Web 服务器的 DDoS 攻击。谢谢。
答案1
有一件事是肯定的——如果您使用安全组,过滤后的流量永远不会到达您的服务器,因此它会减少服务器处理防火墙规则所需的负载。如果您谈论 DDoS,这一点很重要。
安全组似乎只有简单的过滤规则,而使用 iptables 则可以做非常花哨的事情。但你需要它们吗?就我个人而言,我会尽可能多地使用安全组进行过滤,然后在 iptables 上进行下一阶段,如果你需要比安全组允许的更复杂的东西。没有什么可以阻止你在两者上设置相同的过滤器 - 这样你就会受到双重保护 ;-)
答案2
在 Amazon EC2 上,您无需为传入流量付费。您只需要为传出流量付费。src:http://aws.amazon.com/ec2/pricing/#DataTransfer
需要注意的是,您无法向正在运行的实例添加或删除安全组。但是,您可以更改用于该实例的安全组中的规则。