AWS安全组和防火墙都是限制网络通信的防御机制,有相似之处。防火墙用于控制来自网络子网内或网络之间(例如公司网络或Internet)的网络流量。在某些情况下,防火墙在单独的机器上使用,例如台式机上的个人防火墙。防火墙是一类网络安全控件,可从许多不同的供应商以及开源项目获得。AWS安全组是AmazonWebServices的供应商特定功能。安全组提供基于网络的锁定机制,防火墙也提供这种机制。但是,安全组更易于管理。防火墙通常配置有特定的IP规则,例如允许或阻止特定端口上的流量,或接受来自特定服务器的流量。这种硬编码规则很难管理。例如,如果服务器的IP地址发生变化,则需要更新引用旧IP地址的防火墙规则。此外,如果将额外的服务器添加到提供服务的集群中,这些服务的用户将需要更新他们的防火墙规则以允许来自集群新成员的流量。AWS安全组使用策略自动管理。策略是多个服务器引用的一组规则。例如,集群中的所有服务器都可以引用同一个策略,我们称之为SecPol_Cluster。当新的服务器添加到他们的集群时,他们可以参考SecPol_Cluster进行配置。从此集群访问服务的客户端设备配置了一个策略,该策略允许也使用SecPol_Cluster策略与服务器进行通信。使用安全组可以减少必须维护的不同配置的数量,从而减少配置错误的可能性。因为防火墙和安全组执行重叠的功能,所以同时运行两者的好处很小(例如,一个系统的严重故障可以通过使用其他机制来缓解)。原文链接:http://www.searchcloudcomputing.com.cn/showcontent_88799.htm
