Sự khác biệt giữa các nhóm bảo mật (trên AWS) và iptables

Tôi chỉ đang thiết lập một máy chủ và tự hỏi liệu có cần thiết phải thiết lập tường lửa hai lần không. Ví dụ: Tôi có một nhóm bảo mật với các cổng mở sau: 80, 443, 22

Bây giờ tôi thiết lập máy chủ của mình với UFW (frontend cho iptables). Tôi có phải đặt lại các cổng của mình ở đây không hoặc chỉ đặt nó trong iptables không có nhóm bảo mật hoặc cả hai?

Có một sự khác biệt hoặc lợi thế / bất lợi?

Như Tim đã nói trong nhận xét, UFW là tiền đề của iptables, vì vậy bạn nên thực sự so sánh các khả năng của iptables với Amazon Security Groups.

Đối với tôi, lợi thế chính của SG là tích hợp với cơ sở hạ tầng AWS. Nó cho phép bạn xây dựng toàn bộ ngăn xếp bằng Amazon CloudFormation, nhận thông tin chi tiết về các cổng / địa chỉ đã mở / đóng thông qua API, v.v. Nhược điểm - đó là do nhà cung cấp khóa, nghĩa là bạn sẽ cần làm lại mọi thứ nếu bạn quyết định thay đổi nhà cung cấp dịch vụ lưu trữ.

Trước hết, hãy kiểm tra giới hạn VPC của Amazon . Nếu số lượng quy tắc của bạn nằm trong giới hạn và trường hợp của bạn không yêu cầu bất kỳ điều gì đặc biệt như NAT được thực hiện bởi iptables, thì chỉ đủ để sử dụng Amazon SG và để UFW mở. Bạn cũng có thể kiểm tra câu hỏi này để biết thêm chi tiết: Tại sao có cả nhóm bảo mật và iptables trên Amazon EC2?