假设我有一个web服务器,我计划把它放在一个负载均衡器(应该保持在公共或私有子网?),所以要做到这一点,我怎么能确保我的web服务器的安全性。我怎么能否认任何黑客攻击我的网络服务器,因为它将对公众开放。如何确保我的网页伺服器的安全?
用户从Internet访问负载均衡器,因此它应该进入公共子网.
运行web服务器的Amazon EC2实例应该不能从Internet访问,所以它应该进入私有子网.
如果您正在使用应用程序负载平衡器,安全组应为:
- 负载均衡器(
LB-SG
)上的安全组,允许0.0.0.0/0
访问端口80和443 - Amazon EC2实例(
App-SG
)上的一个安全组,允许LB-SG
对端口443(或其他)进行入站访问。即App-SG
明确引用LB-SG
作为流量源。
如果您正在使用网络负载均衡器,请注意负载平衡器本身不接受安全组。因此,使用:
- Amazon EC2实例上的一个安全组,允许从
0.0.0.0/0
访问端口80和443 - 此组将用于确定允许哪些流量从Internet通过负载均衡器进入EC2实例