安全组和FW区别

Security Group

通过 iptables 限制进出 instance 的网络包，是基于instance得宿主机进行限制，只能放通，不能做拒绝。默认拒绝。

Firewall-as-a-Service

FWaaS，限制进出虚拟路由器的网络包，也是通过 iptables 实现。策略在neutron 的route上，可以允许和拒绝。