SSH/SFTP防火牆威脅防護規則
防火牆能否通過檢查傳入請求來提高 SFTP 服務的安全性(例如,阻止僅使用 SFTP 時不需要的任何 SSH 命令?
語境
我最近在我們的莊園裡發現了一個虛擬機,它有一個公共 IP 用於向網際網路公開 SFTP(即 SSH;不是 FTPS)和一個 HTTPS 服務。
我希望將網站放在 Azure App Gateway 後面,讓它執行 SSL 解除安裝,然後通過 HTTP 在內部將請求路由到後端 VM。
由於 SFTP 和 HTTPS 服務共享相同的主機名,我必須在 Azure 防火牆上指出,然後將埠 22 上的請求路由到 VM,並將 80/443 上的請求路由到應用程序網關(80 上的請求只會得到一個HTTP 301 重定向到 HTTPS 端點;443 上的那些將被路由到後端,如上所述)。
由於我們在公眾和虛擬機之間設置了防火牆,因此最好使用它來進一步提高安全性……它只會在埠 22 上轉發到虛擬機,所以這是一個勝利(例如阻止 RDP),並且它為我們提供了諸如客戶端 IP 白名單之類的選項(儘管對於我們不需要的案例,因為我們可以從任何地方獲得合法連接)。
但是我想知道應用網關的防火牆是否有類似 OWASP 規則的東西用於 HTTP,它可以檢查 SSH 流量並阻止任何看起來可疑的東西。
我的猜測是沒有,因為 SSH 將使用只有 VM 和客戶端知道的密鑰的 RSA 加密;不是防火牆……但我沒有深入研究 SFTP/SSH,所以可能有一些我沒有想到的選項可以進一步提高解決方案的安全性?
AFAIK - 不。您無法檢查
ssh
流量和過濾命令。您可以做的是過濾可以連接到本機埠 22 的 IP。您可以使用 Azure 網路安全組來實現。查看此文件以了解有關安全組的詳細資訊。