云服务

从作用范围来看，安全组作用于虚拟机网卡，而防火墙则是在VPC路由器上，保护整个VPC；

安全组是分布式部署的，在每个计算节点上都会存在，而防火墙是集中式，把VPC路由器变成了防火墙；

安全组是白名单机制，仅支持允许策略，防火墙可以自定义规则行为是允许还是拒绝；

安全组规则根据配置顺序来定优先级，防火墙则可以自定义优先级；

安全组规则的匹配内容包括源IP、源端口、协议，防火墙则包括五元组以及TCP flag、ICMP Type、报文状态。

从上面的分析可以看到，防火墙的功能是更为强大的，但可能有朋友要问了，这些都是属于包过滤的功能，安全组同样可以做，这和防火墙是否有功能上的重复？诚然，防火墙的功能主要是包过滤，但后续可以加入更多的功能。

从流量的角度再来看下，访问VPC内部虚拟机的流量到公有网络后，先经过VPC路由器，也就是防火墙，然后是VPC网络，再到虚拟机端口上，经过安全组过滤最后发给虚拟机。可以看到，防火墙是在安全组之前生效的。