服务器级防火墙和 AWS 安全组之间有什么区别？

安全组是有状态的，回复流量会自动被允许。一个安全组可以应用于许多实例。应用后，规则可以随时更改，但您无法更改实例所在的组。安全组在虚拟机管理程序级别强制执行。

网络 ACL 是无状态的，因为您必须为每个方向指定规则。NACL 适用于一个或多个子网。规则可以随时更改。NACL 应用于网络级别。在某些情况下，您必须明确添加更高的端口以允许回复 - 请参阅这里。

实例上运行的软件防火墙在操作系统内运行，因此会占用您的 CPU 周期。我个人不会在 AWS 内使用这些软件，因为提供的功能已经足够了。

传统的硬件防火墙无法在AWS中使用，但同等功能的是NACL。

我主要使用安全组，因为它们最容易使用。如果有大量额外流量访问您的实例，理论上您可以通过添加 NACL 来减少机器的工作量。同时使用两者有点过头了，但不会有什么坏处，而且可能会稍微提高您的安全性。

安全组充当虚拟防火墙，控制一个或多个实例的流量。启动实例时，您会将一个或多个安全组与该实例关联。您可以向每个安全组添加规​​则，以允许流量进出其关联实例。您可以随时修改安全组的规则；新规则会自动应用于与安全组关联的所有实例。

服务器防火墙通常是一种旨在防止未经授权访问专用网络的系统。您可以以硬件或软件形式或两者结合的方式实施防火墙。防火墙可防止未经授权的 Internet 用户访问连接到 Internet 的专用网络，尤其是内部网。

组的主要区别在于，如果您有服务器 A、B、C、D，您可以创建一个组，让服务器 A + B + C 可以相互通信，但 D 不能。您可以将所有服务器置于同一个“防火墙”后面，该防火墙通常对网络中的所有内容都是全局的。

安全组可以应用于多台服务器。语法类似于防火墙，但您也可以从不同的安全组应用源/目标。因此从这个意义上讲，它更像是一个模板。

但是安全组适用仅有的对于入站流量，使用像 iptables 这样的服务器防火墙，允许很多更多的入站、出站、nat 等的配置。

何时应使用或其他？！这取决于您对基本防火墙的要求，您可以使用 AWS 中的安全组来应对更复杂的场景，本地防火墙更合适，因为您有更多选择。

实际上，对于一个不错的安全站点，您可以同时使用两者，尽管这会增加复杂性。

软件防火墙的另一个缺点是，如果服务器受到威胁，防火墙也会受到威胁，尽管我通常对传入流量比传出流量更感兴趣。

在企业中：软件防火墙由服务器管理员管理。AWS（或私有云中的硬件）将由网络管理员或安全团队处理。