关于企业云服务器防火墙的设置

aws 推荐使用安全组

安全组，因为:1,安全组灵活，组内新加机器直接通信， iptables 做不到。
2 ，安全组在主机之外，即使主机被黑，没法关闭安全组的防火墙规则。
3 ， iptables 维护成本高。

直接用的 安全组， iptable 关闭

核心区别 在于 一个 管理成本的问题：
安全组的话，依赖云平台，如果粗一点的话，一个大安全组可以，细粒度一点的话，按应用组 设置安全组也行

如果需要可编程的管理方式的话，推进 salt 这种模版，比如下面就是 一个 只允许 10.0.0.0/8 内网段放行，你可以根据不同的应用组，一个模版，这样管理起来，非常的方便和快捷

flush all:
iptables.flush:
- family: ipv4
default deny INPUT:
iptables.set_policy:
- family: ipv4
- table: filter
- chain: INPUT
- policy: DROP
default deny FORWARD:
iptables.set_policy:
- family: ipv4
- table: filter
- chain: FORWARD
- policy: DROP
default allow OUTPUT:
iptables.set_policy:
- family: ipv4
- table: filter
- chain: OUTPUT
- policy: ACCEPT
allow related and established:
iptables.append:
- family: ipv4
- table: filter
- chain: INPUT
- jump: ACCEPT
- match: state
- connstate: RELATED,ESTABLISHED
allow icmp:
iptables.append:
- family: ipv4
- table: filter
- chain: INPUT
- jump: ACCEPT
- proto: icmp
allow loopback:
iptables.append:
- family: ipv4
- table: filter
- chain: INPUT
- jump: ACCEPT
- in-interface: lo
allow private:
iptables.append:
- table: filter
- chain: INPUT
- proto: all
- source: 10.0.0.0/8
- jump: ACCEPT
- save: True

长知识了.还有安全组..我问下不是云主机能用安全组吗

@a1044634486 可以是可以啊，自己开发喽。但一般没啥必要。

@notolddriver 这个安全组到底是个什么样的技术啊？有基本原理描述吗

用的安全组

@abcbuzhiming 你就把他看作一个防火墙就行

@abcbuzhiming

虚拟机懂吧？
你在自己电脑上开了 10 台虚拟机，比如使用 vmware 上建了 10 台 centos 6.8 的机器。

想象成 你在阿里云购买了 10 台云服务器，各种云服务器其实都是基于虚拟化实现的嘛。

然后你要管理这 10 台虚拟机的防火墙策略对吧， 2 种方法：

1.开发一套 web 后台嘛，部署在自己电脑上，通过操作虚拟机与自己电脑的网络接口，来管理虚拟机与外网的访问。 [外层防火墙嘛]
2.分别在每台虚拟机上使用 iptables ，来限制虚拟机与外网的访问。

我只是大概举个例子哦，实际情况比这不知道高到哪里去了。 = 。-！