Chặn lưu lượng trên cả máy chủ và tường lửa nếu có thể, chỉ trong trường hợp.
Các nhóm bảo mật rất tốt vì chúng ở bên ngoài máy chủ của bạn để dữ liệu không bao giờ đến được với bạn. Chúng không hoàn toàn có thể cấu hình như hầu hết các tường lửa dựa trên máy chủ.
Thật không may, các nhóm bảo mật EC2 chỉ có thể "cho phép" các dịch vụ thông qua chính sách từ chối mặc định. Vì vậy, nếu bạn đang cố gắng chặn quyền truy cập vào dịch vụ "được phép" công khai cho một phạm vi IP nhỏ, việc xây dựng quy tắc cho phép đối với "phần còn lại của internet" phức tạp hơn một chút so với chỉ chặn một dải IP. Như bạn đã chỉ định một khối lớn đẹp, danh sách các phạm vi mạng không bao gồm 172.64.0.0/16 không quá dài:
0.0.0.0/1
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/10
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/3
224.0.0.0/3
Danh sách này sẽ cần phải được thêm cho (các) cổng của bạn. Sau đó, bạn có thể xóa quy tắc 'cho phép tất cả' của mình cho cổng đó. Nếu bạn có nhiều cổng bạn muốn làm điều này cho điều đó không liền kề, danh sách chúng sẽ cần phải đi nhiều lần. Nếu bạn có nhiều nhóm bảo mật, điều này có thể nhanh chóng phát triển thành không thể quản lý được.
Tường lửa cục bộ cũng sẽ hoạt động. iptables
có sẵn trên Amazon AMI mặc định và tất cả các bản phân phối linux
sudo iptables -I INPUT -s 172.64.0.0/16 -j DROP
Sau khi thêm quy tắc của bạn, bạn sẽ cần lưu chúng và đảm bảo iptables
dịch vụ bắt đầu khi khởi động.
# For Amazon Linux
sudo service iptables save
# Other distributions might use one of these:
#sudo iptables-save > /etc/sysconfig/iptables-config
#sudo iptables-save > /etc/iptables/rules.4
Các tập tin cấu hình để lưu vào sẽ thay đổi theo phân phối.
Sử dụng VPC
Nếu bạn sử dụng VPC cho các phiên bản của mình, bạn có thể chỉ định "Mạng ACLS" hoạt động trên mạng con của mình. ACL mạng cho phép bạn viết cả hai quy tắc cho phép và từ chối vì vậy tôi khuyên bạn nên làm theo cách này.