此方案如何在AWS安全组上运行?

时间:2018-04-03 15:46:29

标签: aws-security-group

假设我在aws ec2_A和ec2_B上有两个ec2实例。我有两个安全组分别连接到sg_A和sg_B。现在假设我在sg_B上添加了一个inbund规则,sg_A可以在ec2_B上的端口3456上访问tcp协议。但是当握手发生时:

ec2_A:5547 - > ec2_B:3456 (这是允许的,因为我允许在sg_B上使用sg_A吗?)

当ec2_B在端口5547上向ec2_A发送响应时,它会接受响应,因为我没有在sg_A中为ec2_A打开端口5547吗?如果是,那么如何和“为什么特别”?

1 个答案:

答案 0 :(得分:0)

是的,它会接受回复。原因是因为安全组是有状态的。安全组知道这是对它所做请求的响应,因此无论入站规则如何都允许它。

有关如何实现这一目标的更多信息,请参阅此处的官方文档:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-connection-tracking