AWS 安全組與 Windows 防火牆

在 Amazon EC2 實例上禁用 Windows 防火牆並僅通過 EC2 安全組控制流量是否被認為是最佳實踐？

如果我在伺服器防火牆上打開一個埠，然後在安全組上打開同一個埠，則需要雙重維護。

編輯：

我發現兩者都做的好處。實際上，當您在 AWS 級別按 IP 和埠進行過濾時，您會獲得更高的性能，因為 AWS 伺服器會執行拒絕工作，並且請求甚至不會到達您的伺服器，從而為您節省更多的 RAM、CPU 和頻寬。

編輯2：

實際上，當您錯誤地配置 Windows 防火牆以禁用 3389 RDP 埠時，您的機器就消失了。

你怎麼看 ？

我總是兩者都做。這取決於你更信任誰，亞馬遜，還是你自己。

也許有一天，AWS 安全組可能會被破壞、禁用、規避。在那種（不太可能）的情況下，我有第二個可以依賴的障礙。

如果我不小心在其中一個上留下了一些東西，另一個仍然會阻止它。這有點像雙重選擇或雙重身份驗證。

就管理雙重防火牆規則而言，對我來說這是值得的。沒有那麼多規則。如果您有很多，那麼您應該問自己一個實例是否做得太多，這會增加各種可能的故障點和復雜性。

如果您確實選擇只設置一個，我會做您可以完全控制的那個，即您實例上的那個。

引用自：https://serverfault.com/questions/734402