Perbedaan antara grup keamanan (pada AWS) dan iptables

9

Saya hanya menyiapkan server dan bertanya-tanya apakah perlu mengatur firewall dua kali. Misalnya saya punya grup keamanan dengan port terbuka berikut: 80, 443, 22

Sekarang saya mengatur server saya dengan UFW (frontend untuk iptables). Apakah saya harus mengatur port saya di sini lagi atau hanya mengaturnya di iptables tanpa grup keamanan atau keduanya?

Apakah ada perbedaan atau kelebihan / kekurangan?

Nepo Znat
sumber
5
Memiliki keduanya berarti lebih banyak untuk mengelola tetapi melindungi Anda jika Anda salah satu dari keduanya. Lalu lintas yang diblokir di tingkat AWS tidak pernah berhasil, misalnya, yang bisa sangat membantu.
ceejayoz
1
Apakah Nginx termasuk UFW ? Saya pikir Nginx baru saja memasukkan Nginx. UFW tampaknya menjadi ujung depan untuk iptables. Jika Anda mengatur grup keamanan dengan benar (dan mungkin mengujinya), tidak ada untungnya menggunakan keduanya, tetapi seperti kata ceejayoz, grup ini menyediakan perlindungan kedua. Saya tidak repot-repot, secara pribadi.
Tim
Terima kasih atas jawabannya. Maaf, maksud saya sudah diinstal di Ubuntu.
Nepo Znat

Jawaban:

7

Seperti yang dikatakan Tim dalam komentar, UFW adalah tampilan depan untuk iptables, jadi Anda harus benar-benar membandingkan kemampuan iptables dengan Amazon Security Groups.

Bagi saya keunggulan utama SG adalah integrasi ke infrastruktur AWS. Hal ini memungkinkan Anda untuk membangun seluruh tumpukan menggunakan Amazon CloudFormation, mendapatkan detail tentang port / alamat yang dibuka / ditutup melalui API dll. Kerugian - ini dikunci oleh vendor, artinya Anda harus mengulang semuanya jika Anda memutuskan untuk mengganti penyedia hosting.

Pertama-tama, periksa batas Amazon VPC . Jika jumlah aturan Anda dalam batas dan kasus Anda tidak memerlukan sesuatu yang spesial seperti NAT yang diterapkan oleh iptables, itu cukup untuk menggunakan Amazon SG saja dan membiarkan UFW terbuka. Anda dapat memeriksa pertanyaan ini juga untuk detail lebih lanjut: Mengapa memiliki grup keamanan dan iptables di Amazon EC2?

antrost
sumber
Terima kasih atas jawabannya. Saya telah memutuskan untuk menggunakan keduanya. - SG dan iptables.
Nepo Znat