想知道安全组和内部前缀列表之间的区别,想知道哪种最适合不允许外部流量进入云?
安全组是亚马逊专有网络中单个资源的防火墙。
例如,您可以向只允许访问端口80和443(HTTP和HTTPS(的AmazonEC2实例添加一个安全组。任何发送到其他端口的请求都将在到达实例之前被阻止。然后,您可以添加另一条规则,允许访问端口22(SSH(,但只能从您的IP地址访问。您可以连接,但来自任何其他IP地址的请求都将被阻止。
可以为入站连接(进入实例(和出站状态的,这意味着一个方向上的请求总是允许另一个方向的响应。例如,如果存在允许端口80的入站规则,则该实例将能够响应HTTP请求,而不需要专门允许响应的出站规则。
安全组也可以相互参照。例如:
- 运行应用程序的AmazonEC2实例将具有允许入站HTTP和HTTPS连接以及所有出站连接的安全组
- 同一VPC中的Amazon RDS数据库会有一个安全组,允许来自Amazon EC2实例上安全组的入站数据库连接
也就是说,数据库安全组专门指实例安全组。任何与EC2安全组相关联的实例都将被允许访问数据库。
在安全组中定义规则时,可以指定一个CIDR,用于定义规则允许的IP地址。例如,0.0.0.0/0表示整个互联网,而1.2.3.0/24表示以1.2.3.x开头的所有IP地址。
前缀列表只是CIDR的预定义列表。它们允许从特定前缀列表进行访问,而不必为每个规则定义一个CIDR来定义多个规则,从而更容易定义规则。因此,前缀列表可以由安全组使用。