EC2 安全组看起来很棒,但我对 AWS 系统还很陌生,所以我问了这个问题。在拥有 AWS 安全组的情况下,我是否还需要设置服务器防火墙?我的主要观点是,在 AWS 系统中,其他账户是否可以访问我的服务器?因为如果所有 AWS 账户都在安全组内,那么内部黑客攻击就有可能发生?例如,我的服务器是 www.abc.com,而其他人有服务器帐户(www.hello.com),因此 hellow.com 服务器可以通过安全组过滤的端口访问我的服务器???
答案1
AWS 安全组就像 EC2 实例的防火墙,据我所知(并测试过),除非您更改安全组策略,否则同一 VPC 内的 2 台机器无法看到其内部网络中的端口。
例如
EC2 www.abc.com 的私有 IP 为 10.10.10.5/24 EC2 www.hello.com 的私有 IP 为 10.10.10.6/24
它们在同一个网络中,但是,除非您在其网络 10.10.10.0/24(或主机 10.10.10.5、10.10.10.6)的安全组中添加入站规则,否则它们无法看到其端口 22。
请考虑这,安全组策略适用于 EC2 而不是 VPC:
在 VPC 中启动实例时,您可以为该实例分配最多五个安全组。安全组在实例级别起作用,而不是子网级别。因此,VPC 中子网中的每个实例都可以分配给不同的安全组
关于你的问题,除了安全组之外,我的 EC2 实例中是否还需要防火墙(例如 IPTables)?答案取决于你愿意花多少时间来配置安全性以及你需要什么,两者兼而有之更安全,而且它们可以相互补充,IPTables(或任何其他防火墙)允许你记录可能的攻击,甚至可以添加动态规则,但是,如果你只是想要阻止一些端口,我只会使用安全组配置...你应该检查这