我们正在使用一些已配置的 Amazon EC2 实例Security Groups(例如,只能从特定 IP 进行 SSH - 抱歉,我无法发布规则)。
前段时间我检查了一下iptables,好像没有配置。
sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
我的问题是:
配置是否有意义iptables- 通过raw method或通过某些前端例如csf(不一定是最好的选择,但我想提供一些例子)?
或者说我们什么也没得到?
答案1
iptables 具有 EC2 安全组中无法提供的各种功能。因此,如果您需要 iptables 的某些功能,这就是您的答案。没有任何技术限制阻止您同时运行两者。
从安全角度来看,这就像您有一扇上锁的门,然后又有一扇上锁的门,两扇锁都需要同一把钥匙。如果 iptables 或 EC2 出现严重故障,它可以保护您。如果两个系统都依赖相同的网络规则,我不确定我是否会将此称为“纵深防御”。
然而,恕我直言,这是一个迟早要发生的问题。潜在的安全改进最多只能算作是小事一桩。未能保持过滤规则同步的运营风险才是更现实的问题。
答案2
设置 iptables 总是一个好主意,特别是在规则不变的情况下。
AWS 防火墙可能会为您提供所需的保护,但总有失败的可能。可能是服务故障,也可能是配置问题。最好有第二道防线。使用 iptables,您不再那么依赖 AWS 防火墙,而且您可以拥有更多直接的控制权。
当然,如果规则动态变化,那么管理 iptables 就会变得很麻烦......但你也可以找到解决方案。