您可以使用 ec2-authorize 指定允许哪种类型的流量进入您的 ec2 实例。运行 iptables 仍然是一个好主意吗,还是会引入不必要的复杂性?
答案1
您可能考虑激活 iptables 的一些原因:
- 可以用来阻止传出的木马,例如阻止传出的 smtp 25,并且您可以防御垃圾邮件木马
- 如果亚马逊防火墙由于某种原因被亚马逊意外禁用了怎么办?
- 如果实例启动时使用了不适当的安全组,或者安全组的配置存在问题,该怎么办?
激活 iptables 可以提供纵深防御,并且易于配置,例如使用 ufw:
sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp # allow ssh
sudo ufw default deny
# sudo ufw allow 80/tcp # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp # uncomment this line to allow incoming https
(注意:这不会阻止传出的 smtp,但它确实表明获取基本的 iptables 配置设置相当轻松,然后您可以根据需要对其进行调整 vi /etc/ufw/*.rules)
答案2
我想说这取决于你有多偏执。我个人在我的网络上使用两阶段方法:有一个全局防火墙可以阻止大多数坏东西,然后每个主机运行某种特定于其生存目的的本地防火墙。
ec2-authorize 听起来很像那个主机防火墙。我会配置它并向它发送一些坏数据包,看看会发生什么。我怀疑这已经足够了。