我是 AWS 新手,在前端使用 FortiGate 作为网关。您需要使用安全组吗?或者我可以创建一个安全组来允许所有流量并将其附加,因为 Fortigate 会处理所有事情。
答案1
AWS 中的每个 ENI(弹性网络接口)都有一个安全组。您可以根据需要将安全组完全开放,但我建议您只允许所需的流量。例如,您可以将任何地方的 http 和 https 列入白名单,将特定 IP 的 ssh 列入白名单,等等。
您还可以使用基于子网的网络访问控制列表 (NACL) 来根据端口进行白名单管理。这样做的好处是,如果您遭遇 DDOS 攻击,AWS 可以将 NACL 推送到网络边缘,但这可能仅在您使用 AWS Shield Advanced 时才有效。
在 AWS 中,您倾向于尝试使用服务而不是服务器。您真的需要 Fortigate 吗?有一些有效的用例,例如遵守公司政策。请考虑使用 AWS 网络防火墙作为替代方案。