Если я блокирую трафик через группу безопасности, я предполагаю, что мне не нужно за это платить.
Но если я блокирую трафик через iptables, установленный на моем сервере, я предполагаю, что это я буду платить за любой входящий трафик, который я заблокировал.
Могут ли iptables что-то делать, чего не может сделать группа безопасности?
Я спрашиваю, потому что изучаю меры по снижению DDoS-атак на свой веб-сервер. Спасибо.
Одно можно сказать наверняка - если вы используете группы безопасности, отфильтрованный трафик никогда не достигнет вашего сервера, поэтому он снижает нагрузку, которую сервер должен принять для обработки правил брандмауэра. Это важно, если вы говорите о DDoS.
Кажется, что группы безопасности имеют простые правила фильтрации, в то время как с iptables вы можете делать действительно необычные вещи. Но нужны ли они вам? Лично я бы отфильтровал как можно больше с помощью групп безопасности, а затем сделал бы следующий этап на iptables, если вам нужно что-то более сложное, чем позволяют группы безопасности. Ничто не мешает вам также установить одинаковые фильтры на обоих - тогда вы будете защищены вдвойне ;-)
В Amazon EC2 вы не платите за входящий трафик. Вы платите только за исходящий трафик. src: http://aws.amazon.com/ec2/pricing/#DataTransfer
Следует знать, что вы не можете добавить или удалить группу безопасности для работающего экземпляра. Однако вы можете изменить правила в группе безопасности, которую вы использовали для этого экземпляра.