禁用 Amazon EC2 实例上的 Windows 防火墙并控制流量是否被视为最佳实践仅有的通过 EC2 安全组?
如果我在服务器防火墙上打开一个端口,然后在安全组上打开相同的端口,则需要双重维护。
编辑:
我发现同时做这两件事有好处。实际上,当您在 AWS 级别按 IP 和端口进行过滤时,您将获得更高的性能,因为 AWS 服务器将执行拒绝工作,请求甚至不会到达您的服务器,这为您节省了更多的 RAM、CPU 和带宽。
编辑2:
实际上,当您错误地配置 Windows 防火墙以禁用 3389 RDP 端口时,您的机器就没了。
你怎么认为 ?
答案1
我总是同时做这两件事。这取决于你更信任谁,亚马逊,还是你自己。
也许有一天 AWS 安全组可能会被破坏、禁用或绕过。在那种(不太可能)的情况下,我有第二道可以依赖的屏障。
如果我无意中在其中一个页面上留下了某些信息,另一个页面仍然会阻止它。这有点像双重选择加入或双因素身份验证。
就管理两套防火墙规则而言,对我来说这是值得的。规则并不多。如果你有很多规则,那么你应该问问自己,这个实例是否做得太多了,这会增加各种可能的故障点和复杂性。
如果您确实选择只设置一个,我会设置一个您可以完全控制的,即您的实例上的一个。
答案2
禁用其中一个或另一个并不是长期网络安全的最佳做法。最佳安全做法是同时维护主机驻留防火墙和始终在您的实例上启用 AWS 安全组。此做法基于称为纵深防御。这是在网络中构建安全冗余的一种非常有效的方法。
如果您使用 VPC,还有另一个安全层需要考虑:网络访问控制列表 (ACL)。网络 ACL 充当防火墙,用于控制进出子网的流量。
在 AWS 上实施初始安全架构时,一种有用的技术是在设计和测试阶段仅依赖安全组和/或主机驻留防火墙,以简化管理。随着实施的成熟,您可以添加 ACL 规则作为另一层,以进一步保护您的网络。
答案3
我不知道这是否是社区的“最佳实践”,但亚马逊建议这样做。
“我们建议您禁用 Windows 防火墙并使用安全组规则控制对实例的访问。“(来源)
答案4
除解决问题(例如远程连接问题)外,Amazon 不建议禁用 Windows 防火墙。