【AWS】什么是AWS Security Group(安全组)
AWS Security Group(安全组)是 AWS 提供的一项虚拟防火墙功能,用于控制进出您的 Amazon EC2 实例的网络流量。
您可以将安全组想象成一个实例级别的防火墙,它在网络层面运行,用于过滤允许到达或离开您的实例的流量。
主要特点和工作原理:
实例级别: 安全组是附加到 EC2 实例的,而不是子网或 VPC。一个实例可以关联一个或多个安全组。
入站和出站规则: 您可以为安全组配置入站(Inbound)规则和出站(Outbound)规则:
入站规则: 控制哪些流量可以进入您的实例。例如,您可以允许来自特定 IP 地址或另一个安全组的 HTTP (端口 80) 流量。
出站规则: 控制哪些流量可以离开您的实例。默认情况下,通常允许所有出站流量。
状态化 (Stateful): 这是安全组的一个重要特性。这意味着如果您允许了某个入站流量,那么相应的出站响应流量会自动被允许,反之亦然。您无需为响应流量单独创建出站规则。
默认拒绝: 安全组默认拒绝所有入站流量,直到您明确添加允许规则。默认允许所有出站流量。
引用其他安全组: 您可以在安全组规则中引用另一个安全组作为源或目标,这在构建多层应用程序时非常有用,例如,允许 Web 服务器安全组的实例访问数据库安全组的实例。
简而言之,AWS Security Group 就像一个智能门卫,只允许您明确授权的流量通过,从而为您的 EC2 实例提供基础的网络安全保护。
过去考试题
インバウンドおよびアウトバウンド アクセスを制御するインスタンス レベルのファイアウォールとして機能するのは、次のうちどれですか?
- ネットワークアクセス制御リスト
- セキュリティグループ
- AWS Trusted Advisor
- 仮想プライベート ゲートウェイ
セキュリティグループは、EC2インスタンスに対するインバウンドおよびアウトバウンドネットワークトラフィックをフィルタリングするための仮想ファイアウォールのような役割を果たします。ユーザーは、セキュリティグループのルールを定義して、特定のIPアドレス範囲やポート番号からのアクセスを許可または拒否できます。
A. ネットワークアクセス制御リスト(NACL)は、VPCレベルでネットワークアクセスをフィルタリングするためのファイアウォールルールです。インスタンスレベルではなくサブネットレベルで機能します。
C. AWS Trusted Advisorは、AWSリソースのコスト最適化、セキュリティ、パフォーマンス、サービス制限、可用性に関する推奨事項を提供するクラウドサービスですが、ファイアウォールの役割は果たしません。
D. 仮想プライベートゲートウェイは、オンプレミスネットワークとAWS VPCとの間の暗号化された通信チャネルを提供しますが、インスタンスレベルのファイアウォールとしては機能しません。
过去考试题
インスタンスレベルのファイアウォールとして動作し、インバウンド?アクセスとアウトバウンド?アクセスを制御するものはどれですか?
- Security Group
- Network ACL
- AWS WAF
- AWS Shield
Security Group はインスタンスレベルのファイアウォールとして機能し、インバウンドとアウトバウンドのトラフィックを制御します。インスタンスに対する許可ルールと拒否ルールを定義することができます。
B: Network ACLはサブネットレベルのファイアウォールであり、
インバウンドとアウトバウンドのトラフィックを制御しますが、インスタンスレベルではありません。
C: AWS WAFはWebアプリケーションファイアウォールであり、Webアプリケーションに対する攻撃を防ぐためのものです。インスタンスレベルのファイアウォールではありません。
D: AWS ShieldはDDoS攻撃からAWSリソースを保護するサービスで、ファイアウォールとしての機能はありません。