如何确保通过负载均衡器暴露在互联网上的网络服务器的安全性?
How to ensure security for my webserver which is exposed to internet via a loadbalancer?
假设我有一个网络服务器,我打算将其置于负载均衡器之下(应该将其保存在 public 或私有子网中吗?),那么要做到这一点,我如何确保我的安全性网络服务器。我怎样才能拒绝对我的网络服务器的任何黑客攻击,因为它将对 public 开放。我如何确保我的网络服务器的安全?
用户从 Internet 访问负载均衡器,因此它应该位于 public 子网 .
Amazon EC2 实例 运行 您的 Web 服务器应该不能 可以从 Internet 访问,因此它应该进入 私有子网.
如果您使用的是 Application Load Balancer,安全组应该是:
- 负载均衡器 (
LB-SG) 上的一个安全组,允许从 0.0.0.0/0 访问端口 80 和 443
- Amazon EC2 实例 (
App-SG) 上的安全组允许从 LB-SG 端口 443(或其他端口)进行入站访问。即,App-SG 特别引用 LB-SG 作为流量来源。
如果您使用的是网络负载平衡器,请注意负载平衡器本身不接受安全组。因此,使用:
- Amazon EC2 实例上的安全组允许从
0.0.0.0/0 访问端口 80 和 443
- 该组将用于确定允许哪些流量从 Internet 出发,通过负载均衡器到达 EC2 实例
假设我有一个网络服务器,我打算将其置于负载均衡器之下(应该将其保存在 public 或私有子网中吗?),那么要做到这一点,我如何确保我的安全性网络服务器。我怎样才能拒绝对我的网络服务器的任何黑客攻击,因为它将对 public 开放。我如何确保我的网络服务器的安全?
用户从 Internet 访问负载均衡器,因此它应该位于 public 子网 .
Amazon EC2 实例 运行 您的 Web 服务器应该不能 可以从 Internet 访问,因此它应该进入 私有子网.
如果您使用的是 Application Load Balancer,安全组应该是:
- 负载均衡器 (
LB-SG) 上的一个安全组,允许从0.0.0.0/0 访问端口 80 和 443
- Amazon EC2 实例 (
App-SG) 上的安全组允许从LB-SG端口 443(或其他端口)进行入站访问。即,App-SG特别引用LB-SG作为流量来源。
如果您使用的是网络负载平衡器,请注意负载平衡器本身不接受安全组。因此,使用:
- Amazon EC2 实例上的安全组允许从
0.0.0.0/0 访问端口 80 和 443
- 该组将用于确定允许哪些流量从 Internet 出发,通过负载均衡器到达 EC2 实例