Windows-Server-2008
AWS 安全組與 Windows 防火牆
在 Amazon EC2 實例上禁用 Windows 防火牆並僅通過 EC2 安全組控制流量是否被認為是最佳實踐?
如果我在伺服器防火牆上打開一個埠,然後在安全組上打開同一個埠,則需要雙重維護。
編輯:
我發現兩者都做的好處。實際上,當您在 AWS 級別按 IP 和埠進行過濾時,您會獲得更高的性能,因為 AWS 伺服器會執行拒絕工作,並且請求甚至不會到達您的伺服器,從而為您節省更多的 RAM、CPU 和頻寬。
編輯2:
實際上,當您錯誤地配置 Windows 防火牆以禁用 3389 RDP 埠時,您的機器就消失了。
你怎麼看 ?
我總是兩者都做。這取決於你更信任誰,亞馬遜,還是你自己。
也許有一天,AWS 安全組可能會被破壞、禁用、規避。在那種(不太可能)的情況下,我有第二個可以依賴的障礙。
如果我不小心在其中一個上留下了一些東西,另一個仍然會阻止它。這有點像雙重選擇或雙重身份驗證。
就管理雙重防火牆規則而言,對我來說這是值得的。沒有那麼多規則。如果您有很多,那麼您應該問自己一個實例是否做得太多,這會增加各種可能的故障點和復雜性。
如果您確實選擇只設置一個,我會做您可以完全控制的那個,即您實例上的那個。