Amazon web services AWS Web应用程序防火墙-添加到现有环境建议
我有一个现有的环境,包括一个面向公众的应用程序负载平衡器,它将流量转发到私有子网上的windows ec2主机(alb侦听443,转发80) 这两个资源都位于各自的安全组中,alb sg将来自internet的入口列入白名单,主机sg仅允许来自alb sg的端口80流量 我需要在这个设置中添加一个WAF,并且一直在谷歌上搜索关于如何做的简单的后勤建议,但到目前为止还没有找到任何答案(因此这篇文章!) 有人能为此提供任何建议、提示或窍门吗 e、 g.如果WAF有自己的ACL,我是否仍然需要alb安全组? 如果没有,如何执行主机sg的入口规则? 如果是这样,我是否需要在两个地方维护相同的ip白名单Amazon web services AWS Web应用程序防火墙-添加到现有环境建议,amazon-web-services,amazon-ec2,aws-elb,Amazon Web Services,Amazon Ec2,Aws Elb,我有一个现有的环境,包括一个面向公众的应用程序负载平衡器,它将流量转发到私有子网上的windows ec2主机(alb侦听443,转发80) 这两个资源都位于各自的安全组中,alb sg将来自internet的入口列入白名单,主机sg仅允许来自alb sg的端口80流量 我需要在这个设置中添加一个WAF,并且一直在谷歌上搜索关于如何做的简单的后勤建议,但到目前为止还没有找到任何答案(因此这篇文章!) 有人能为此提供任何建议、提示或窍门吗 e、 g.如果WAF有自己的ACL,我是否仍然需要alb安
提前感谢:)从安全角度来看,如果您要维护少量IP地址(或CIDR范围),那么您肯定应该尝试在安全组中维护IP地址(毕竟,如果WAF被删除,您仍然希望限制为IP)。评估将在安全组之前在WAF进行 如果您计划将WAF IPSet与更大范围的IP一起使用,则需要将其用作IP列表,其中安全组允许这些端口上的所有流量。请记住,移除WAF将使其保持打开状态
如果您不想维护IP白名单(例如面向公众的网站或API),则不需要将IP白名单包括在WAF中,而只保留您希望评估的规则。从安全角度看,如果您维护的IP地址数量较少(或CIDR范围)然后,您肯定应该尝试在安全组中维护IP地址(毕竟,如果WAF被删除,您仍然希望限制为IP)。评估将在安全组之前在WAF进行 如果您计划将WAF IPSet与更大范围的IP一起使用,则需要将其用作IP列表,其中安全组允许这些端口上的所有流量。请记住,移除WAF将使其保持打开状态
如果您不想维护IP白名单(例如面向公众的网站或API),那么您就不需要在WAF中包含IP白名单,而只需要保留您希望评估的规则。嗨,克里斯,谢谢你-是的,这只是一个小数目的IP地址,所以我将它们保留在sg中:)干杯!没问题,很高兴我能帮忙。祝你有一个美好的一天:)嗨,克里斯,谢谢你-是的,这只是一小部分ip地址,所以我会把它们保存在sg中:)干杯!没问题,很高兴我能帮忙。祝你今天愉快:)