Soru Güvenlik grupları (AWS'de) ve iptables arasındaki fark


Ben sadece bir sunucu kurarım ve güvenlik duvarını iki kez ayarlamak gerekip gerekmediğini merak ediyorum. Örneğin, aşağıdaki açık bağlantı noktalarına sahip bir güvenlik grubum var: 80, 443, 22

Şimdi sunucumu UFW ile kuruyorum (iptables için ön uç). Bağlantılarımı tekrar ayarlamak zorunda mıyım yoksa güvenlik grubunu veya her ikisini de içeren iptables'de mi ayarlamalıyım?

Bir fark veya avantaj / dezavantaj var mı?


5
2017-11-19 14:17


Menşei


İkisi de yönetmek için daha çok şey demektir ama ikisinden birini kurtarırsanız sizi korur. AWS seviyesinde engellenen trafik, örneğinizi asla işe yaramaz, bu da çok yararlı olabilir. - ceejayoz
Nginx içerir UFW? Nginx'in Nginx'i dahil ettiğini düşündüm. UFW iptables için bir ön uç gibi görünüyor. Güvenlik gruplarını doğru şekilde kurarsanız (ve muhtemelen bunları test ederseniz), her ikisini de kullanmanın bir avantajı yoktur, ancak ceejayoz, ikinci bir koruma hattı sağladığını söyler. Kişisel olarak rahatsız etmiyorum. - Tim
Cevaplar için teşekkürler. Üzgünüm, Ubuntu’da yüklü olduğu anlamına geliyor. - sascha


Cevaplar:


Gibi Tim Yorumunda, UFW iptables için önyüz, bu yüzden Amazon Güvenlik Grupları ile iptables yeteneklerini gerçekten karşılaştırmalısınız.

Benim için ana SG avantajı AWS altyapısına entegrasyon. Bu Amazon CloudFormation kullanarak tüm yığını oluşturmak için izin verir, API ile açık / kapalı bağlantı noktaları / adresleri hakkında bilgi almak. Dezavantajları - bu sağlayıcı-sağlayıcı değiştirmeye karar verirseniz, her şeyi yeniden yapmak gerekir anlamı satıcı-kilitli.

Her şeyden önce, kontrol et Amazon VPC sınırları. Kurallarınızın sayısı sınırlar içinde ise ve durumunuz iptables tarafından uygulanan NAT gibi özel bir şey gerektirmiyorsa, yalnızca Amazon SG kullanmak ve UFW'yi açık bırakmak yeterlidir. Daha fazla bilgi için bu soruyu kontrol edebilirsiniz: Amazon EC2'de neden hem güvenlik grupları hem de iptables var?


4
2017-11-19 19:18



Cevap için teşekkürler. İkisini de kullanmaya karar verdim. - SG ve iptables. - sascha