На экземпляре EC2 вы можете настроить группу безопасности так, чтобы она выглядела так же, как правила брандмауэра (например, по умолчанию отбрасывает весь трафик с выборочным разрешением входящего или исходящего трафика на основе портов). Раньше я использовал другие службы, такие как DigitalOcean, и просто добавляю некоторые правила в брандмауэр (например, UFW) после входа в экземпляр.
Для экземпляра EC2 должен ли я настраивать правила брандмауэра только через группы безопасности, а не прикасаться к программному обеспечению брандмауэра, запущенному на экземпляре (например, после входа в систему не настраивать ufw или iptables)?
Я хочу убедиться, что все это настроено правильно, и что я случайно не заставляю трафик проходить через 2 набора правил брандмауэра, если используются обе группы безопасности и брандмауэр на основе хоста.
Я подозреваю, что любой подход или их комбинация могут работать (и это было бы хорошо, если бы не повторяющиеся правила). Это правильно? Если возможно, я хотел бы просто использовать группы безопасности.
Вы можете использовать любое количество доступных межсетевых экранов из любого количества. Глубокая защита предполагает, что более одного уровня могут повысить безопасность.
Вот что каждый из них, насколько мне известно:
Лично я использую группы безопасности в качестве основного брандмауэра, поскольку их проще всего настроить и использовать. у меня тоже есть fail2ban помещает правила в брандмауэр CloudFlare чтобы предотвратить доступ к серверу плохих IP-адресов, используя эту настройку.