我正在设置服务器,想知道是否需要设置两次防火墙。例如,我有一个安全组,其中开放了以下端口:80、443、22
现在我使用 UFW(iptables 的前端)设置我的服务器。我是否必须在这里再次设置我的端口,还是仅在没有安全组的 iptables 中设置它,或者两者兼而有之?
有什么区别或优点/缺点吗?
答案1
作为蒂姆在评论中说,UFW 是 iptables 的前端,因此您应该真正将 iptables 功能与 Amazon Security Groups 进行比较。
对我来说,SG 的主要优势是与 AWS 基础设施的集成。它允许您使用 Amazon CloudFormation 构建整个堆栈,通过 API 获取有关打开/关闭的端口/地址的详细信息等。缺点 - 它受供应商锁定,这意味着如果您决定更换托管服务提供商,您将需要重做一切。
首先,检查Amazon VPC 限制。如果您的规则数量在限制范围内,并且您的案例不需要任何特殊的东西,例如由 iptables 实现的 NAT,那么仅使用 Amazon SG 并保持 UFW 开放就足够了。您也可以查看此问题以了解更多详细信息: 为什么 Amazon EC2 上同时拥有安全组和 iptables?