企业在 AWS 上搭建安全防御体系时,最常见的问题是:有哪些安全组件?分别放在哪?做什么用? 这篇文章从外到内梳理 AWS 的 7 层网络安全防线。
总览
1
2
3
4
5
6
7
8
9
10
用户/互联网
│
▼
① AWS Shield ← DDoS 防护,全局层
② AWS WAF ← Web 应用层过滤
③ AWS Network Firewall ← VPC 边界防火墙
④ Security Group ← 实例级防火墙
⑤ NACL ← 子网级防火墙
⑥ VPC Endpoints Policy ← 服务访问控制
⑦ VPC Flow Logs ← 流量审计(非防护)
各层详解
① AWS Shield — DDoS 防护
- 位置:所有 AWS 服务(Standard)/ CloudFront(Advanced)
- 费用:Standard 免费,Advanced $3,000/月
- 作用:防护 L3/L4 DDoS 攻击。Standard 默认开启,日常够用。
② AWS WAF — Web 应用防火墙
- 位置:挂在 CloudFront / ALB / API Gateway 前面
- 费用:~$6-8/月
- 作用:防护 SQL 注入、XSS、IP 速率限制、地理封禁
③ AWS Network Firewall — VPC 边界防火墙
- 位置:VPC 出入口或 Transit Gateway 附着点
- 费用:~$600/月(2 AZ 高可用)
- 作用:域名过滤、IP 黑名单、深度包检测 (DPI)
④ Security Group — 实例级防火墙
- 位置:附着在 EC2 / ENI / RDS / ALB 上
- 费用:免费
- 作用:允许特定 IP + 端口。有状态(允许入站就自动允许回包),仅支持 Allow 规则。
⑤ NACL — 子网级防火墙
- 位置:绑定在子网上,整个子网生效
- 费用:免费
- 作用:子网级别的 IP + 端口黑白名单。无状态(入站出站规则独立配),支持 Allow + Deny。
SG vs NACL 核心区别:SG 有状态,NACL 无状态。举例——SG 允许入站 80 端口后回包自动放行;NACL 允许入站 80 后还需单独配出站规则放行临时端口 (1024-65535)。
⑥ VPC Endpoints Policy
- 位置:VPC Endpoint 上
- 费用:Gateway Endpoint 免费,Interface Endpoint ~$7.2/月/个
- 作用:限制 Endpoint 只能访问特定 S3 桶或 API,防止数据外泄
⑦ VPC Flow Logs
- 位置:VPC / 子网 / ENI 级别日志
- 费用:日志量费用(CloudWatch Logs 或 S3)
- 作用:记录所有流量元数据,用于异常检测和取证(非防护,但关键)
如何选择
| 场景 | 必选 | 可选 |
|---|---|---|
| 最小安全基线 | SG + VPC Flow Logs | — |
| 公网 Web 服务 | + WAF | Shield Advanced |
| VPC 间流量管控 | + NACL | Network Firewall |
| 合规审计严格 | + VPC Endpoints Policy | — |