【问题标题】:Why do AWS EC2 RDP sessions continue to be active after removing the RDP rule from security group?从安全组中删除 RDP 规则后,为什么 AWS EC2 RDP 会话继续处于活动状态?
【发布时间】:2022-01-07 10:57:27
【问题描述】:

我有一个 EC2 实例,它的安全组只允许 RDP。这是安全组的唯一规则。

如果我执行以下操作...

  1. 启动与 EC2 实例的 RDP 会话。
  2. 从安全组中删除 RDP 规则,使安全组没有任何入口规则。

...即使附加的安全组中没有 Ingress 规则,现有的 RDP 会话也可以无限期地正常工作。

我的期望是,一旦部署了安全组中的更改,RDP 会话就会被切断。

为什么会这样?我首先想到的原因是因为安全组的出口规则是0.0.0.0/0,但我也尝试将出口IP更改为1.2.3.4/32(即随机IP)并且现有的RDP会话仍然存在.

总而言之,当我删除 RDP 规则时,似乎只有 连接被阻止,但现有连接继续正常工作。

【问题讨论】:

    标签: amazon-web-services amazon-ec2 aws-security-group


    【解决方案1】:

    因为安全组是有状态的防火墙。入站请求发起的流量不受出站规则限制。我怀疑在传输开始时会检查一次规则,然后允许响应流量而不需要额外的规则检查。

    访问控制列表是无状态的。我没有测试,但我希望从 ACL 中删除规则会立即减少响应流量。为了工作,无状态防火墙必须检查每个数据包的入站和出站规则。

    【讨论】:

      【解决方案2】:

      听起来 RDP 会话会继续在主机上运行,​​即使客户端停止与它通信也是如此。这很有用,因为如果客户退出,事情就会继续发生。

      您似乎可以在组策略设置中使用 Session Time Limits | Microsoft Docs 为空闲 RDP 会话配置超时:

      此节点中的策略设置控制远程桌面会话主机服务器上远程桌面服务会话的时间限制。

      【讨论】:

        猜你喜欢
        • 2020-06-24
        • 1970-01-01
        • 2015-07-27
        • 2016-11-12
        • 2015-10-30
        • 1970-01-01
        • 2020-04-23
        • 2013-03-31
        • 2020-05-25
        相关资源
        最近更新 更多