AWS security group 和 network ACL

最新推荐文章于 2023-02-08 23:50:43 发布
最新推荐文章于 2023-02-08 23:50:43 发布
阅读量2.6k 收藏 11
点赞数 2
分类专栏: 公有云 文章标签: AWS security security group network acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tom098/article/details/117195051
版权

AWS security group 和 network ACL都定义了网络访问规则,用于控制哪些inbond和outbond traffic被允许或者被禁止。不同之处在于:

AWS security group:应用于主机的流量访问控制。同一个security group可以跨不同的subnet甚至availability zone,但是不能跨VPC。(一个VPC可以跨多个Availability zone, 一个Availability zone就是一个数据中心,一个region下边可以有多个Availability zone)。

在定义SG时,可以指定Inbound/outbond policy, 比如在定义inbound policy时,可以指定哪些源主机可以访问本机(目的主机)的哪些端口。比如我们为一个web server 定义一个SG,而这个web server我们想任何主机都可以访问它,包括从internet访问,这时目的端口可以指定80, 源主机就可以指定0.0.0.0,表示任何主机都可以访问。

SG一个有趣的功能是,在设定规则时,源主机可以不指定IP地址,而是指定一个SG,表示所有属于该SG的主机。也就是说SG不经可以设定访问规则,还可以代表一组主机哦。 另外, SG是stateful (有状态)防火墙,你可以在一个SG里边只指定Inbond规则,无需指定outbond规则,当inbond规则允许流量进入后,所有响应(outbond)流量会自动放行。下文有详细介绍什么是有状态防火墙。

Network ACL:作用于单个subnet里边的所有主机。每一个Subnet都有对应的Network ACL。

比如下边图示中,左下角的那个private subnet的security group A里的主机与 security group B里边的主机互相通信,那traffic要受security group A和security group B控制,但是不受Network ACL控制的,因为流量没有出subnet。而下图左上角的主机要与左下角的主机通讯,那流量即受security group控制, 也受Network ACL控制,因为流量出了subnet。

下图介绍了什么是有状态防火墙,什么是无状态防火墙。比如一个客户端浏览器访问一个web server,web server IP是10.2.1.10,监听端口是80,客户端IP是10.1.1.1,端口是65188。客户端服务器之间有一个防火墙,做控制流量。这个时候,防火墙设置规则时,有两种方案:

有状态防火墙方案:这种方式,只针对主动发起方发起的流量设置访问规则,比如我们的例子,主动发起方是客户端浏览器,那只需要设置从浏览器(IP 10.1.1.1, port 65188)到web server (IP 10.2.1.10, port 80)的流量设置规则,不需要针对web server到浏览器的响应流量再单独设置一条规则,默认如果放行从浏览器到web server的流量,那从web server到浏览器的响应流量也是允许的。就像下边图片说的,一个有状态防火墙,是自动允许返回的流量的。(请思考:假设我们在防火墙上设置了一条规则,允许浏览器访问web server。那现在浏览器没有访问web server, 但是出于某种原因,虽然不太可能,web server主动发送流量给客户端呢的65188端口,这种情况防火墙会允许么?)

无状态防火墙方案:像下边图中说的,无状态防火墙不管你的流量是主动发起的请求流量,还是服务端的响应流量,都需要检查相应的访问控制规则,看有没有对应的规则允许放行。

AWS的Security Group,使用的是有状态防火墙,而Network ACL使用的是无状态防火墙,需要为请求、响应流量都这只段都的规则,这点设置规则时要注意。

请思考:既然Security Group和Network ACL都对应防火墙的访问控制规则,那他们分别在哪里设置?是在每个主机的防火墙里,比如Linux的IP table,还是在撞门的网络设备,比如防火墙,路由器等等?

Security Group除了可以应用于EC2 instance,还可以用于你创建的EFS(就是NFS文件系统),比如下边的例子就是EC2 instance和EFS共用了一个security group(名字是web-access),虽然这样看起来不太好。也就是说Security group是独立的,当他依附于哪个资源时,就对哪个资源起作用。

另外,默认的security group允许同一个security group里边的主机通讯,即使是跨不同subnet的主机,Security group允许同一个Security group的instances之间互相访问,是由如下这条规则决定的,可以看到允许source是这个security group本身的主机访问,也就是允许该security group内所有资源互相访问。

 

Tom098
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS - Security Group(安全组)
qq_44356236的博客
06-25 841
EC2实例的安全组相关的知识点。
63. AWS WAF, AWS Firewall Manager, and AWS Shield
JessicaWin
02-10 481
AWS WAF is a web application firewall that lets you monitor the HTTP and HTTPS requests that are forwarded to an Amazon CloudFront distribution, an Amazon API Gateway REST API, an Application Load Balancer, or an AWS AppSync GraphQL API.
关于Network ACLs的理解
BAStriver的博客
06-07 559
网络访问控制列表 (ACL) 是 VPC 的一个可选安全层,可用作防火墙来控制进出一个或多个子网的流量。
一文搞懂AWS Region, VPC, VPC endpoint,AZ, Subnet 基础篇上
jonest的博客
03-29 4268
简介 长文多图预警,看结论可以直接拖到“总结”部分 本文及下一篇文章介绍以下AWS基础概念或服务。 Region AZ(Availability Zone) VPC(Virtual Private Cloud) Subnet Security Group VPC Endpoint EC2 IGW(Internet Gateway) Route Table(RT) EIP (Elistic IP) NAT gateway SSM (System manager) Security Group(SG) 以.
AWS security group允许同组内主机访问
梦见唐朝的故事
11-02 1596
其实设置起来很简单,就是在添加端口规则的时候把自己这个security group添加进去就可以了,但是之前添加后也一直没能成功访问,今天终于找到了原因:访问时候要使用内网IP地址,因为如果使用外网IP地址的话,就会先经过路由到外网后再访问回来,就导致不是同一个security group内的地址了,所以访问失败。
AWS SSA 图片系列 之 Security Group VS ACL
fddqfddq的专栏
09-09 235
ACL rule
AWS-安全组-学习笔记
weixin_42230010的博客
02-08 1531
在每一个EC2实例创建的过程中,你都会被要求为其指定一个。这个安全组充当了主机的虚拟防火墙作用,能根据协议、端口、源IP地址来过滤EC2实例的入向和出向流量。通过安全组,你可以定义该EC2实例对外开放哪一些服务端口。比如你可以开放TCP/22端口来用于SSH登陆,或者开放TCP/80端口来用于HTTP服务。除了使用安全组之外,你还可以继续保留系统原生的防火墙(Linux下的iptable和Windows的防火墙)。安全组是有状态的。
The Security Group
BLOG域名:programb.blog.csdn.net
04-22 288
The Security group is comprised of developers who participate in the design, implementation, and maintenance of Java Security components. The current members of the Security Group are listed in the ce...
AWS安全最佳实践:IAM、VPC安全组和网络ACL
# 1. 引言 ## 1.1 介绍AWS安全性重要...## 1.2 IAM、VPC安全组和网络ACL作用 AWS Identity and Access Management (IAM) 是AWS用于管理用户、组、角色和权限的服务。通过IAM,用户可以控制对AWS服务和资源的访问权限
AWS VPC 详细解析
Conrad_Wang的博客
03-20 4917
VPC概述 VPC(Virtual Private cloud)虚拟私有云,是AWS提供的在网络层面对资源进行分组的技术,一个VPC可以看作是一个独立的虚拟网络,这个虚拟网络与客户在数据中心运营的传统网络及其相似,并会为客户提供使用AWS的可扩展基础设施的优势,默认情况下VPC与VPC之间不互通,是逻辑上的隔离。 默认每个region下可以创建5个VPC,也可以根据需要在每个区域开通100个...
AWS_Security_Best_Practices_CN(AWS安全最佳实践).pdf
07-10
本白皮书提供AWS云上安全最佳实践,有助于您定义云上信息安全管理体系,并为您信息安全管理体系构建提供一组安全策略和流程,例如,对您在AWS上资产进行标识、分类和保护,使用账户、用户和角色来管理云上的各种资源的访问和权限,并对您在云中的数据、操作系统和应用程序以及整体基础设施提供多种保护方式和方案。
security_group_organize:整理AWS安全组入站规则
03-09
security_group_organize 整理AWS安全组入站规则 配置 config.py config安全组ID和区域 储存凭证 如何运行: 克隆项目 git clone https://github.com/benhazout/security_group_organize.git 在项目目录内(“ security_group_organize”)运行: pip3 install -r requirements.txt 运行项目: python3 app.py
AWS学习笔记-VPC
Jerry7810的博客
12-18 1018
Amzon Virtual Private Cloud AWS accounts that support EC2-VPC will have a default VPC created in each region with a default subnet created in each AZ. The assigned CIDR block of the VPC will be 172.31...
OpenStack中的Security Group实现
yeasy的专栏
03-20 7861
【注】 Security Group在openstack中起到很重要的作用,它直接保护租户的vm。但不恰当的配置也容易导致各种莫名其妙的问题。 理解Security Group的实现,有助于理解OpenStack的设计理念和解决各种网络问题。 最新版pdf也可以从这里下载。 ----------------------------------------------------------
AWS之【网络ACL
qq_38589895的博客
03-17 1691
网络访问控制列表 (ACL) 是 VPC 的一个可选安全层,可用作防火墙来控制进出一个或多个子网的流量。 每个子网都和一个ACL(网络访问控制列表)关联,ACL能够在子网层面对AWS资源进行保护。 ACL对流入流出子网的流量进行访问控制,出入站的规则中的规则编号是有大小之分的,小编号会覆盖掉大编号的规则,也就是说,当定义的两种规则存在冲突时。会选择执...
Openstack Nova Security Group——安全组之架构篇
热门推荐
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全组 安全组,翻译成英文是 security group。安全组是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
挑战旧式思维,深入AWS、Azure安全组
weixin_37098404的博客
05-04 268
本文翻译自策略驱动的云管理平台——Scalr,作者Ron Harnik,翻译已获得本人授权。用户在接受云技术过程中所面临的最大挑战之一是:必须习惯于用截然不同的方式完成各...
AWS DevOps 通过Config自动审计Security Group配置——上篇
栗子哥的云计算博客
08-12 524
这个实验的一个场景是,运维同事设计安全组Security Group的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了) 逻辑是: 修改,添加或已有的Security —— 触发Config的审计—— 触发Lambda来修改正确的规则(这个实验是自定义rule,AWS Config提供了90几个rule可以满足大部分场景的需求) 先决条件: 了解AWS Lamb
Neutron总结-security group
创新是灵魂,执行是生命。
07-31 2812
Neutron 为 instance 提供了两种管理网络安全的方法: 安全组和虚拟防火墙。 安全组的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables。
AWS waf 和AWS security group的区别
最新发布
06-09
AWS WAF (Web Application Firewall) 和 AWS Security Group 都是 AWS 提供的安全服务,但是它们的作用和使用方式有所不同。 AWS WAF 是一个 Web 应用程序防火墙,用于保护用户的 Web 应用程序免受各种攻击,如 SQL 注入、跨站点脚本攻击等。AWS WAF 可以通过规则来识别和阻止这些攻击,规则可以基于 IP 地址、HTTP 请求头、请求体、查询字符串等多个因素进行配置。AWS WAF 可以与 AWS CloudFront、AWS Application Load Balancer、AWS API Gateway 等服务配合使用。 AWS Security Group 是一种虚拟防火墙,用于控制 EC2 实例的入站和出站流量。AWS Security Group 可以控制哪些 IP 地址或 IP 地址范围可以访问 EC2 实例,以及 EC2 实例可以访问哪些 IP 地址或 IP 地址范围。AWS Security Group 可以与多个 EC2 实例进行关联,也可以与其他 AWS 服务进行关联,如 RDS 实例、ElastiCache 实例等。 因此,AWS WAF 主要用于保护 Web 应用程序,而 AWS Security Group 主要用于控制 EC2 实例的网络访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值