安全组中的出站规则答案

【问题标题】：Outbound rules in a security group安全组中的出站规则
【发布时间】：2021-10-17 20:56:45
【问题描述】：

场景 1：我为所有流量创建了一个入站 HTTP 规则。然后，我仅为特定 IP（不是我的）为 HTTP 创建了一个 outbounf 规则。我仍然能够看到http内容。那么这是否意味着如果将入站规则设置为所有流量，则出站规则将没有影响？

场景 2： 然后我继续删除了入站 http 规则，并使用我的 IP 创建了一个出站 http 规则。而且它不允许我访问 http 内容。

场景 2 是有道理的，但基于场景 1，我只是不理解出站规则的用法。能否请您分享一些可以使用出站规则的场景？

【问题讨论】：

来自 AWS docs：“安全组是有状态的 — 如果您从您的实例发送请求，则无论入站安全组规则如何，都允许该请求的响应流量流入。对无论出站规则如何，都允许允许的入站流量流出。”

【解决方案1】：

想想你的家庭网络。您不希望互联网上的人能够访问您家中的计算机、打印设备和智能设备。幸运的是，您的路由器充当了阻止传入访问的防火墙。

但是，您还希望能够访问 Internet。幸运的是，您的路由器可以观察到您访问 StackOverflow 等网站的请求，并且它允许响应返回。此处的区别在于您启动了出站连接，因此它允许返回响应返回。这称为有状态连接，因为它会记住请求并允许返回流量。

Amazon VPC 中的安全组 完全相同，但相反。如果入站规则允许请求进入，则安全组将允许响应返回。这不涉及使用出站规则。

通常，出站规则保留为“全部允许”，因为您信任在自己的 EC2 实例上运行的软件。这允许软件和操作系统访问互联网（例如下载软件更新）并且还允许返回流量返回。它确实不在此过程中涉及入站规则。

【讨论】：