服务器级防火墙和 AWS 安全组之间有什么区别?

服务器级防火墙和 AWS 安全组之间有什么区别?

我想知道是否有人可以提供一些有关区分服务器防火墙和 AWS 安全组的背景知识?

答案1

安全组是有状态的,回复流量会自动被允许。一个安全组可以应用于许多实例。应用后,规则可以随时更改,但您无法更改实例所在的组。安全组在虚拟机管理程序级别强制执行。

网络 ACL 是无状态的,因为您必须为每个方向指定规则。NACL 适用于一个或多个子网。规则可以随时更改。NACL 应用于网络级别。在某些情况下,您必须明确添加更高的端口以允许回复 - 请参阅这里

实例上运行的软件防火墙在操作系统内运行,因此会占用您的 CPU 周期。我个人不会在 AWS 内使用这些软件,因为提供的功能已经足够了。

传统的硬件防火墙无法在AWS中使用,但同等功能的是NACL。

我主要使用安全组,因为它们最容易使用。如果有大量额外流量访问您的实例,理论上您可以通过添加 NACL 来减少机器的工作量。同时使用两者有点过头了,但不会有什么坏处,而且可能会稍微提高您的安全性。

在此处输入图片描述

答案2

安全组充当虚拟防火墙,控制一个或多个实例的流量。启动实例时,您会将一个或多个安全组与该实例关联。您可以向每个安全组添加规​​则,以允许流量进出其关联实例。您可以随时修改安全组的规则;新规则会自动应用于与安全组关联的所有实例。

服务器防火墙通常是一种旨在防止未经授权访问专用网络的系统。您可以以硬件或软件形式或两者结合的方式实施防火墙。防火墙可防止未经授权的 Internet 用户访问连接到 Internet 的专用网络,尤其是内部网。

组的主要区别在于,如果您有服务器 A、B、C、D,您可以创建一个组,让服务器 A + B + C 可以相互通信,但 D 不能。您可以将所有服务器置于同一个“防火墙”后面,该防火墙通常对网络中的所有内容都是全局的。

答案3

安全组可以应用于多台服务器。语法类似于防火墙,但您也可以从不同的安全组应用源/目标。因此从这个意义上讲,它更像是一个模板。

但是安全组适用仅有的对于入站流量,使用像 iptables 这样的服务器防火墙,允许很多更多的入站、出站、nat 等的配置。

何时应使用或其他?!这取决于您对基本防火墙的要求,您可以使用 AWS 中的安全组来应对更复杂的场景,本地防火墙更合适,因为您有更多选择。

实际上,对于一个不错的安全站点,您可以同时使用两者,尽管这会增加复杂性。

答案4

软件防火墙的另一个缺点是,如果服务器受到威胁,防火墙也会受到威胁,尽管我通常对传入流量比传出流量更感兴趣。

在企业中:软件防火墙由服务器管理员管理。AWS(或私有云中的硬件)将由网络管理员或安全团队处理。

相关内容