是否认为禁用Amazon EC2实例上的Windows防火墙并仅通过EC2安全组控制stream量是最佳做法?
如果我在服务器防火墙上打开一个端口,然后在安全组上打开同一个端口,则需要双重维护。
编辑:
我发现两者都有优势。 实际上,当您在AWS级别通过IP和端口过滤时,AWS服务器将执行拒绝作业,并且请求甚至不会到达您的服务器,从而为您节省更多的RAM,CPU和带宽,从而获得更多性能。
EDIT2:
其实当你错误的configurationwindows防火墙来禁用3389 RDP端口时,你的机器就没了。
你怎么看 ?
我总是这样做。 这是你更信任谁,亚马逊或你自己的问题。
也许有一天,AWS安全组可能会被打破,禁用,规避。 在那(不太可能)的情况下,我可以依靠第二个障碍。
如果我不小心留下了一个开放的东西,另一个仍然会阻止它。 这有点像双重select或双重authentication。
就pipe理双重防火墙规则而言,对我来说是值得的。 这不是很多规则。 如果你有很多,那么你应该问自己,这个实例是否做得太多了,这就增加了各种可能的失败点和复杂性。
如果你select了只设置一个,我会做一个你完全控制的,你的实例。
禁用其中一个并不是长期networking安全的最佳实践。 最佳安全做法是始终在您的实例上维护主机驻留防火墙和 AWS安全组。 这种做法是基于“ 深度防御”的安全概念。 这是在您的networking中build立安全冗余的一个非常好的方法。
如果您使用的是VPC,还有另一个安全层需要考虑: networking访问控制列表(ACL) 。 networkingACL充当防火墙,用于控制stream入和stream出子网的stream量。
在AWS上实施初始安全体系结构时,一个有用的技术是在devise和testing阶段仅依靠安全组和/或主机驻留防火墙来简化pipe理。 随着实现的成熟,您可以将ACL规则添加为另一个层来进一步保护您的networking。
我不知道这是否是来自社区的“最佳做法”,但亚马逊build议这样做。
“ 我们build议您禁用Windows防火墙,并使用安全组规则控制对您实例的访问。 ”( 来源 )