在AWS EC2中，我们需要安全组和服务器端防火墙吗？

Question

EC2安全小组看起来很棒，但我对AWS系统还很陌生，这就是我为什么要问这个问题的原因。我是否还需要在拥有AWS安全组的同时设置服务器防火墙？我的主要观点是，在AWS系统中，其他帐户可以访问我的服务器吗？因为如果所有AWS帐户都在安全组内部，那么内部黑客是可能的？例如，我的服务器是www.abc.com，而其他人有服务器帐户(www.hello.com)，因此hellow.com服务器可以通过由安全组?过滤的端口访问我的服务器。

Answer 1

AWS安全组就像用于EC2实例的防火墙，而同一VPC中的AFAIK (和测试)2计算机不能在其内部网络中看到端口，除非您更改了您的安全组策略。

例如：

EC2 www.abc.com拥有私有IP 10.10.5/24 EC2 www.hello.com与私有IP 10.10.10.6/24

它们在同一个网络中，但是，除非您在网络10.10.10.0/24 (或主机10.10.10.5、10.10.10.6)的安全组中添加入站规则，否则它们无法看到端口22。

请考虑这，安全组策略适用于EC2，而不是VPC：

在VPC中启动实例时，可以向实例分配最多5个安全组。安全组在实例级别，而不是子网级别进行操作。因此，可以将VPC中子网中的每个实例分配给不同的安全组。

关于您的问题，除了我的安全组之外，我是否需要在我的EC2实例中设置防火墙(例如EC2)？答案取决于您想要花费多少时间配置安全性和您需要什么，两者都更安全，它们可以互补，IPTables (或任何其他防火墙)允许您记录可定位的套接字，甚至可以添加动态规则，但是，如果您想要的只是阻塞一些端口，我只会使用安全组配置.你应该检查一下这