安全組和防火墻區別

從作用范圍來看，安全組作用于虛擬機網卡，而防火墻則是在VPC路由器上，保護整個VPC；安全組是分布式部署的，在每個計算節點上都會存在，而防火墻是集中式，把VPC路由器變成了防火墻；安全組是白名單機制，僅支持允許策略，防火墻可以自定義規則行為是允許還是拒絕；安全組規則根據配置順序來定優先級，防火墻則可以自定義優先級；安全組規則的匹配內容包括源IP、源端口、協議，防火墻則包括五元組以及TCP flag、ICMP Type、報文狀態。防火墻的功能是更為強大的。

從流量的角度再來看下，訪問VPC內部虛擬機的流量到公有網絡后，先經過VPC路由器，也就是防火墻，然后是VPC網絡，再到虛擬機端口上，經過安全組過濾最后發給虛擬機。可以看到，防火墻是在安全組之前生效的。

從配置的角度來看，安全組是作用于虛擬機網卡的，如果虛擬機數量非常多，那么就需要再一個個將虛擬機選擇出來加入安全組，過程復雜且繁瑣；而用防火墻就方便的多，直接幾條策略即可，防護整個網段。

當然，防火墻也有無法觸及之處，防火墻作為VPC網絡的網關，主要對南北向流量進行過濾，同一個VPC網絡中的虛擬機通信沒有辦法做控制，這個時候就需要依靠安全組了。

回答所涉及的環境：聯想天逸510S、Windows 10。