我想知道我的 AWS Transfer Family 服务器必须使用的终端节点类型。
解决方法
查看下表以确定哪种 AWS Transfer Family 终端节点类型最适合您的使用案例:
| | | | |
---|
终端节点类型 | 公有终端节点 | 具有内部访问权限的 Amazon Virtual Private Cloud(Amazon VPC)终端节点 | 具有互联网访问权限的 VPC 终端节点 | VPC_ENDPOINT(已弃用) |
支持的协议 | SFTP | SFTP、FTP、FTPS | SFTP、FTPS | SFTP |
访问权限 | 通过互联网。此终端节点类型在您的 VPC 中不需要任何特殊配置。 | 在 VPC 和 VPC 连接的环境中,例如 AWS Direct Connect 或 VPN 上的本地数据中心。 | 在互联网上以及在 VPC 和 VPC 连接的环境中,例如 AWS Direct Connect 或 VPN 上的本地数据中心。 | 在 VPC 和 VPC 连接的环境中,例如 AWS Direct Connect 或 VPN 上的本地数据中心。 |
静态 IP 地址 | 您不能附加静态 IP 地址。AWS 提供了可能发生更改的 IP 地址。 | 附加到终端节点的私有 IP 地址不会发生更改。 | 您可以将弹性 IP 地址附加到终端节点。这些 IP 地址可以是 AWS 拥有的 IP 地址,也可以是您自己的 IP 地址 (BYOIP)。附加到终端节点的弹性 IP 地址不会发生更改。 附加到服务器的私有 IP 地址也不会发生更改。 | 附加到终端节点的私有 IP 地址不会发生更改。 |
源 IP 允许列表 | 此终端节点类型不支持按源 IP 地址列出的允许列表。 该终端节点可公开访问并通过端口 22 侦听流量。 | 要允许通过源 IP 地址进行访问,可以使用附加到服务器终端节点的安全组和附加到终端节点所在子网的网络访问控制列表(网络 ACL)。 | 要允许通过源 IP 地址进行访问,可以使用附加到服务器终端节点的安全组和附加到终端节点所在子网的网络 ACL。 | 要允许通过源 IP 地址进行访问,可以使用附加到服务器终端节点的安全组和附加到终端节点所在子网的网络 ACL。 |
客户端防火墙允许列表 | 您必须允许 DNS 服务器的名称。 由于 IP 地址可能会发生更改,因此请避免将 IP 地址用于客户端防火墙允许列表。 | 您可以允许终端节点的私有 IP 地址或 DNS 名称。 | 您可以允许服务器的 DNS 名称或附加到服务器的弹性 IP 地址。 | 您可以允许终端节点的私有 IP 地址或 DNS 名称。 |
**注意:**VPC_ENDPOINT 终端节点类型现已弃用,无法用于创建新服务器。要了解更多信息,请参阅停止使用 VPC_ENDPOINT。
请考虑以下选项以提升您的 AWS Transfer Family 服务器的安保状况:
- 使用拥有内部访问权的 VPC 终端节点,以便服务器只能由 VPC 或本地数据中心等 VPC 连接环境中的客户端通过 AWS Direct Connect 或 VPN 访问。
- 要允许客户端通过互联网访问终端节点并保护服务器,使用拥有面向互联网的访问权的 VPC 终端节点。然后,修改 VPC 的安全组,以仅允许托管您的用户客户端的特定 IP 地址发出的流量。
- 在拥有内部访问权的 VPC 终端节点前面使用网络负载均衡器。将负载均衡器上的侦听器端口从端口 22 更改为其他端口。这可以降低(但不能消除)端口扫描仪和探测您的服务器的机器人的风险,因为端口 22 是最常用的扫描端口。然而,如果您使用网络负载均衡器,您将不能使用安全组允许从源 IP 地址进行访问。
- 如果您需要基于密码的身份验证并将自定义身份提供商用于您的服务器,最佳实践是设置积极的密码策略。最佳实践是确保您的密码策略阻止用户创建弱密码并限制登录尝试失败的次数。
相关信息
为服务器创建面向互联网的终端节点
如何在 AWS Transfer Family 已启用 SFTP 的服务器终端节点上启用弹性 IP 地址?