[[132612]]

AWS安全群組和防火墻都是為了限制網絡通信的防御機制，二者類似。

防火墻用來控制網絡流，從網絡的子網或者網絡之間控制，比如企業網絡或者互聯網。在一些情況下，防火墻在單獨的機器上使用，比如臺式機上的個人防火墻。

防火墻屬于一類的網絡安全控制，可以從許多不同的廠商那里獲得，也有一些開源的項目。

AWS安全群組屬于亞馬遜Web服務的具體廠商的功能。安全群組提供了一種基于網絡的閉鎖機制，這也是防火墻提供的。然而，安全群組更易于管理。

防火墻通常用具體的IP規則來配置，比如允許或者鎖定具體端口上的流量，或者接受來自某特定服務器的流量。這種硬編碼的規則很難管理。比如，如果一個服務器的IP地址改變了，防火墻規則引用舊的IP地址就需要更新。此外，如果額外的服務器增加到提供服務的集群中，這些服務的用戶就需要升級防火墻規則，允許這個集群中新成員的流量通過。

AWS安全群組使用策略自動化管理。策略是一套規則，多個服務器來引用。比如，集群中的服務器都可以參照同一個策略，我們將其稱之為 SecPol_Cluster。當新的服務器添加到其集群中時，他們就可以配置參考SecPol_Cluster。訪問來自這個集群的服務的客戶端設備通過策略配置，允許同時用SecPol_Cluster策略的服務器進行通信。

使用安全群組減少了必須維護的不同配置的數量，從而減少了配置錯誤的發生機會。由于防火墻和安全群組執行了重疊的功能，因此同時運行二者只會出現邊際效益(比如，一個系統的嚴重故障可以通過使用其他機制減輕)。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_88799.htm