【发布时间】:2021-06-14 23:13:26
【问题描述】:
我想了解 WAF、安全组和路由表之间的区别。 假设我有一个 VPC、2 个子网(一个私有子网),并且我想部署一个 Web 应用程序(UI 和后端服务以及一个数据库 (RDS)),在这种情况下,WAF 和安全组会发挥作用。 有人可以帮我理解一个用例吗?
【问题讨论】:
我想了解 WAF、安全组和路由表之间的区别。 假设我有一个 VPC、2 个子网(一个私有子网),并且我想部署一个 Web 应用程序(UI 和后端服务以及一个数据库 (RDS)),在这种情况下,WAF 和安全组会发挥作用。 有人可以帮我理解一个用例吗?
【问题讨论】:
HTTP 协议建立在 TCP 协议之上。
WAF 会在 HTTP 流量到达您的 Web 应用程序之前对其进行检查,以阻止恶意 Web 流量。 为了在容器化应用程序(例如在 ECS 上运行)或在 EC2 上运行的应用程序前面实现 WAF,您应该在应用程序服务器前面使用 Application Load Balancer 并将 WAF 与该负载均衡器相关联。 如果您的应用程序在 Lambda 上运行,您可以使用 API Gateway 执行相同的操作。
安全组基于端口接受或阻止 TCP、UDP、ICMP 等网络协议。如果您想公开您的 Web 应用程序,请打开端口 443 和 80。
路由表应该与您的子网相关联,以便网络流量 (TCP) 可以知道去向。
最佳实践是将您的应用程序服务器和数据库放在私有子网中(使用不路由来自 Internet 的流量的路由表),然后将例如 Application Load Balancer 放在公共子网中,以便接受来自 Internet 的流量并路由它到您的私有子网。
【讨论】: