澄清最好的安全组和内部前缀列表之间的区别,并对此进行简要解释
To clarify the difference between security groups and Internal prefix list which would be best and to have a brief explanation about that
想知道安全组和内部前缀列表之间的区别,以及哪个最适合不允许外部流量进入云?
安全组 是 Amazon VPC 中单个资源上的防火墙。
例如,您可以将安全组添加到 Amazon EC2 实例,该实例仅允许在端口 80 和 443(HTTP 和 HTTPS)上进行访问。任何去往其他端口的请求在到达实例之前都会被阻止。然后,您可以添加另一条规则,允许访问端口 22 (SSH),但只能从您的 IP 地址访问。您可以连接,但来自任何其他 IP 地址的请求将被阻止。
可以为 Inbound 连接(进入实例)和 Outbound 连接(离开实例的请求)配置规则。请求是 有状态的 ,这意味着一个方向的请求将始终允许另一个方向的响应。例如,如果存在允许端口 80 的入站规则,则实例将能够响应 HTTP 请求,而无需专门允许响应的出站规则。
安全组也可以相互引用。例如:
- 一个 Amazon EC2 实例 运行 一个应用程序将有一个允许入站 HTTP 和 HTTPS 连接以及所有出站连接的安全组
- 同一 VPC 中的 Amazon RDS 数据库将有一个安全组,允许来自 Amazon EC2 实例上的安全组的入站数据库连接
即数据库安全组特指实例安全组。将允许与 EC2 安全组关联的任何实例访问数据库。
在安全组中定义规则时,您指定 CIDR 来定义规则允许的 IP 地址。例如,0.0.0.0/0 表示整个 Internet,而 1.2.3.0/24 表示所有以 1.2.3.x.
开头的 IP 地址
前缀列表 只是一个 pre-defined CIDR 列表。它们允许从特定前缀列表访问,而不是必须定义多个规则,每个规则一个 CIDR,从而更容易定义规则。因此,安全组可以使用前缀列表。
想知道安全组和内部前缀列表之间的区别,以及哪个最适合不允许外部流量进入云?
安全组 是 Amazon VPC 中单个资源上的防火墙。
例如,您可以将安全组添加到 Amazon EC2 实例,该实例仅允许在端口 80 和 443(HTTP 和 HTTPS)上进行访问。任何去往其他端口的请求在到达实例之前都会被阻止。然后,您可以添加另一条规则,允许访问端口 22 (SSH),但只能从您的 IP 地址访问。您可以连接,但来自任何其他 IP 地址的请求将被阻止。
可以为 Inbound 连接(进入实例)和 Outbound 连接(离开实例的请求)配置规则。请求是 有状态的 ,这意味着一个方向的请求将始终允许另一个方向的响应。例如,如果存在允许端口 80 的入站规则,则实例将能够响应 HTTP 请求,而无需专门允许响应的出站规则。
安全组也可以相互引用。例如:
- 一个 Amazon EC2 实例 运行 一个应用程序将有一个允许入站 HTTP 和 HTTPS 连接以及所有出站连接的安全组
- 同一 VPC 中的 Amazon RDS 数据库将有一个安全组,允许来自 Amazon EC2 实例上的安全组的入站数据库连接
即数据库安全组特指实例安全组。将允许与 EC2 安全组关联的任何实例访问数据库。
在安全组中定义规则时,您指定 CIDR 来定义规则允许的 IP 地址。例如,0.0.0.0/0 表示整个 Internet,而 1.2.3.0/24 表示所有以 1.2.3.x.
前缀列表 只是一个 pre-defined CIDR 列表。它们允许从特定前缀列表访问,而不是必须定义多个规则,每个规则一个 CIDR,从而更容易定义规则。因此,安全组可以使用前缀列表。