我有一个现有的环境,由一个面向公共的应用程序负载均衡器组成,它将流量转发到私有子网上的windows ec2主机(alb在443上侦听,在80上转发(。
这两个资源都在它们自己的安全组中,具有来自互联网的alb-sg白名单入口,并且主机sg只允许来自alb-sg的端口80流量。
我需要在这个设置中添加一个WAF,并且一直在谷歌上搜索关于如何做到这一点的简单后勤建议,但到目前为止还没有找到任何答案(因此发布了这篇帖子!(。
有人能为此提供任何建议、提示或窍门吗?
例如,如果WAF有自己的ACL,我还需要alb安全组吗?如果没有,我该如何为主机sg执行入口规则?如果是,我是否需要在两个地方维护相同的ip白名单?
提前感谢:(
从安全角度来看,如果您维护少量IP地址(或CIDR范围(,那么您肯定应该尝试在安全组中维护IP地址(毕竟,如果WAF被删除,您仍然希望限制为IP(。评估将在WAF中先于安全组进行。
如果您计划使用具有更大IP范围的WAF IPSet,则需要将其用作具有允许这些端口上所有流量的安全组的IP列表。头脑清醒地去除WAF会让这件事悬而未决。
如果您不试图维护IP白名单(例如面向公众的网站或API(,则不需要将IP白名单包括在WAF中,而只保留您希望评估的规则。