AWS Web 应用程序防火墙 - 添加到现有环境的建议
AWS Web Application Firewall - Adding To Existing Environment Advice
我有一个现有环境,其中包含面向 public 的应用程序负载均衡器,将流量转发到私有子网上的 windows ec2 主机(alb 在 443 上侦听并在 80 上转发)。
这两种资源都在它们自己的安全组中,alb sg 将来自互联网的入口列入白名单,而主机 sg 只允许来自 alb sg 的端口 80 流量。
我需要在此设置中添加一个 WAF,并且一直在谷歌上搜索有关如何操作的简单后勤建议,但到目前为止还没有找到任何答案(因此 post!)。
任何人都可以为此提供任何建议、技巧或陷阱吗?
例如如果 WAF 有自己的 ACL,我还需要 alb 安全组吗?
如果不是,我如何为主机 sg 执行入口规则?
如果是这样,是否需要在两个地方维护同一个ip白名单?
提前致谢:)
从安全的角度来看,如果您要维护少量 IP 地址(或 CIDR 范围),那么您绝对应该尝试在安全组内维护 IP 地址(毕竟,如果删除了 WAF,您仍然需要限制为 IP)。评估将在安全组之前在 WAF 进行。
如果您计划使用具有更大范围 IP 的 WAF IPSet,那么您将需要将其用作具有安全组的 IP 列表,允许这些端口上的所有流量。请记住,删除 WAF 将使它保持打开状态。
如果您不想维护 IP 白名单(例如 public 面向网站或 API),那么您不需要在 WAF 中包含 IP 白名单,而是保留只是您希望评估的规则。
我有一个现有环境,其中包含面向 public 的应用程序负载均衡器,将流量转发到私有子网上的 windows ec2 主机(alb 在 443 上侦听并在 80 上转发)。
这两种资源都在它们自己的安全组中,alb sg 将来自互联网的入口列入白名单,而主机 sg 只允许来自 alb sg 的端口 80 流量。
我需要在此设置中添加一个 WAF,并且一直在谷歌上搜索有关如何操作的简单后勤建议,但到目前为止还没有找到任何答案(因此 post!)。
任何人都可以为此提供任何建议、技巧或陷阱吗?
例如如果 WAF 有自己的 ACL,我还需要 alb 安全组吗? 如果不是,我如何为主机 sg 执行入口规则? 如果是这样,是否需要在两个地方维护同一个ip白名单?
提前致谢:)
从安全的角度来看,如果您要维护少量 IP 地址(或 CIDR 范围),那么您绝对应该尝试在安全组内维护 IP 地址(毕竟,如果删除了 WAF,您仍然需要限制为 IP)。评估将在安全组之前在 WAF 进行。
如果您计划使用具有更大范围 IP 的 WAF IPSet,那么您将需要将其用作具有安全组的 IP 列表,允许这些端口上的所有流量。请记住,删除 WAF 将使它保持打开状态。
如果您不想维护 IP 白名单(例如 public 面向网站或 API),那么您不需要在 WAF 中包含 IP 白名单,而是保留只是您希望评估的规则。