我聽到了關(guān)于AWS安全群組與傳統(tǒng)防火墻之間的對比。安全群組是什么?與防火墻有什么不同?二者能否聯(lián)合使用?

Dan Sullivan：AWS安全群組和防火墻都是為了限制網(wǎng)絡(luò)通信的防御機(jī)制，二者類似。

防火墻用來控制網(wǎng)絡(luò)流，從網(wǎng)絡(luò)的子網(wǎng)或者網(wǎng)絡(luò)之間控制，比如企業(yè)網(wǎng)絡(luò)或者互聯(lián)網(wǎng)。在一些情況下，防火墻在單獨(dú)的機(jī)器上使用，比如臺式機(jī)上的個人防火墻。

防火墻屬于一類的網(wǎng)絡(luò)安全控制，可以從許多不同的廠商那里獲得，也有一些開源的項目。

AWS安全群組屬于亞馬遜Web服務(wù)的具體廠商的功能。安全群組提供了一種基于網(wǎng)絡(luò)的閉鎖機(jī)制，這也是防火墻提供的。然而，安全群組更易于管理。

防火墻通常用具體的IP規(guī)則來配置，比如允許或者鎖定具體端口上的流量，或者接受來自某特定服務(wù)器的流量。這種硬編碼的規(guī)則很難管理。比如，如果一個服務(wù)器的IP地址改變了，防火墻規(guī)則引用舊的IP地址就需要更新。此外，如果額外的服務(wù)器增加到提供服務(wù)的集群中，這些服務(wù)的用戶就需要升級防火墻規(guī)則，允許這個集群中新成員的流量通過。

AWS安全群組使用策略自動化管理。策略是一套規(guī)則，多個服務(wù)器來引用。比如，集群中的服務(wù)器都可以參照同一個策略，我們將其稱之為SecPol_Cluster。當(dāng)新的服務(wù)器添加到其集群中時，他們就可以配置參考SecPol_Cluster。訪問來自這個集群的服務(wù)的客戶端設(shè)備通過策略配置，允許同時用SecPol_Cluster策略的服務(wù)器進(jìn)行通信。

使用安全群組減少了必須維護(hù)的不同配置的數(shù)量，從而減少了配置錯誤的發(fā)生機(jī)會。由于防火墻和安全群組執(zhí)行了重疊的功能，因此同時運(yùn)行二者只會出現(xiàn)邊際效益(比如，一個系統(tǒng)的嚴(yán)重故障可以通過使用其他機(jī)制減輕)。