我想了解WAF、安全组和路由表之间的区别。假设我有一个VPC,2个子网(一个私有子网(,我想部署一个web应用程序(UI和后端服务以及数据库(RDS((,在这种情况下,WAF和安全组会出现在画面中。有人能帮我理解一个用例吗?
HTTP协议建立在TCP协议之上。
WAF在HTTP流量到达您的web应用程序之前对其进行检查,以阻止恶意的web流量。为了在容器化应用程序(例如在ECS上运行(或在EC2上运行的应用程序前面实现WAF,您应该在应用程序服务器前面使用应用程序负载均衡器,并将WAF与该负载均衡器相关联。如果你的应用程序运行在Lambda上,你也可以做同样的事情,但使用API网关。
安全组接受或阻止基于端口的网络协议,如TCP、UDP、ICMP。如果您想公开您的web应用程序,请打开端口443和80。
路由表应该与你的子网相关联,这样网络流量(TCP(就可以知道去哪里。
最佳做法是将应用程序服务器和数据库放在专用子网中(带有不路由来自Internet的流量的路由表(,然后将应用程序负载均衡器放在公用子网中,以便接受来自Internet的通信并将其路由到专用子网。