FortiGate下一代防火墙AWS安全组

Question

我对AWS还很陌生，它使用前面的FortiGate作为网关。您是否需要使用安全组，或者我可以创建一个来允许所有的通信并附加它，因为堡垒处理所有的事情。

Answer 1

AWS中的每个ENI (弹性网络接口)都有一个安全组。如果您愿意，可以让安全组大范围开放，但我建议您只允许使用您想要的通信量。例如，您可以将来自特定IP的任意位置的http和https、ssh等进行白名单。

您还可以使用基于子网的网络访问控制列表(NACL)和基于端口的白名单。其优点是，如果您在DDOS下可以将NACLs推到网络边缘，但这可能只有在您使用Advanced时才能实现。

在AWS中，您倾向于使用服务而不是服务器。你真的需要福蒂盖特吗？有一些有效的用例，例如遵守公司政策。考虑将AWS网络防火墙作为替代方案。