<div dir="ltr">Hi Salvatore:<br><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Nov 25, 2013 at 2:02 PM, Salvatore Orlando <span dir="ltr"><<a href="mailto:sorlando@nicira.com" target="_blank">sorlando@nicira.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Lorin,<div>I think yours is a very good question; I am afraid I am not able to provide a straight answer regarding in which cases one service should be preferred to the other.<br>
</div><div><br></div><div>
Technically the difference would be that a firewall rule is enforced only at the edge of your network, and is therefore not enforced for intra-tenant and inter-tenant traffic, whereas a security group rule is enforced on every port where the security group applies.</div>

<div> </div></div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div>As an example, one could use a security group to allow traffic on ports 80 and 443 on all instances regardless of the source security group, and a firewall rule to block access to port 80 from external sources. The result would be that HTTP would be open for 'internal' traffic whereas only HTTPS would be available for externally-generated traffic.</div>
</div></blockquote><div><br><div>Can you confirm that the FWaaS rules won't apply to inter-tenant traffic? In a public cloud situation I would  think an end-user would expect tenant isolation: traffic from other tenants to be treated the same way as external traffic.<br>
</div><br></div><div>Lorin<br></div></div><br>-- <br><div dir="ltr">Lorin Hochstein<br><div>Lead Architect - Cloud Services</div><div>Nimbis Services, Inc.</div><div><a href="http://www.nimbisservices.com" target="_blank">www.nimbisservices.com</a></div>
</div>
</div></div></div>