澄清安全组和内部前缀列表之间的区别最好，并对此进行简要说明

Question

想知道安全组与内部前缀列表之间的区别，并且知道哪种是不允许外部流量进入云的最佳选择？

Answer 1

A 安全组是亚马逊VPC中单个资源的防火墙。

例如，您可以将一个安全组添加到Amazon EC2实例中，该实例仅允许在端口80和443（HTTP和HTTPS）上访问。到达实例之前，任何进入其他端口的请求都将被阻止。然后，您可以添加另一个允许访问端口22（SSH）的规则，但仅从IP地址访问。您可以连接，但是任何其他IP地址的请求都将被阻止。

可以为入站连接（进入实例）以及出站连接（请求离开实例）的规则。请求是状态的，这意味着始终允许朝另一个方向响应一个方向的请求。例如，如果有一个允许端口80的入站规则，则实例将能够响应HTTP请求，而无需特别允许响应的出站规则。

安全组也可以互相参考。例如：

• 运行一个应用程序的Amazon EC2实例将具有一个安全组允许入站HTTP和HTTPS连接，并且所有出站连接
• 在同一VPC中的Amazon RDS数据库都有一个安全组，允许从Amazon上的安全组的入站数据库连接EC2实例

是，数据库安全组专门指实例安全组。与EC2安全组关联的任何实例都可以访问数据库。

在安全组中定义规则时，您指定了定义规则允许的IP地址的 cidr 。例如，0.0.0.0/0表示整个Internet，而1.2.3.0/24表示所有以1.2.2.3.x 。

前缀列表只是预定义的CIDR列表。它们通过允许从特定前缀列表访问而不是必须使用一个CIDR来定义多个规则来更容易定义规则。因此，前缀列表可以由安全组使用。