我应该对 AWS Transfer Family 服务器使用哪种类型的终端节点?

上次更新时间:2020 年 6 月 8 日

我应该对 AWS Transfer Family 服务器使用哪种类型的终端节点?

解决方法

查看下表以确定哪种 AWS Transfer Family 终端节点类型最适合您的使用案例:  

终端节点类型 公共终端节点 具有内部访问权限的 Amazon Virtual Private Cloud (Amazon VPC) 终端节点 具有面向互联网的访问权限的 VPC 终端节点 VPC_ENDPOINT
支持的协议 SFTP SFTP、FTP、FTPS SFTP、FTPS SFTP
访问权限 在互联网上。此终端节点类型在您的 VPC 中不需要任何特殊配置。 在 VPC 和 VPC 连接的环境中,例如 AWS Direct Connect 或 VPN 上的本地数据中心。 在互联网上以及在 VPC 和 VPC 连接的环境中,例如 AWS Direct Connect 或 VPN 上的本地数据中心。 在 VPC 和 VPC 连接的环境中,例如 AWS Direct Connect 或 VPN 上的本地数据中心。
静态 IP 地址 您无法附加静态 IP 地址。AWS 提供了可能发生更改的 IP 地址。 附加到终端节点的私有 IP 地址不会发生更改。

您可以将弹性 IP 地址附加到终端节点。这些 IP 地址可以是 AWS 拥有的 IP 地址,也可以是您自己的 IP 地址 (BYOIP)。附加到终端节点的弹性 IP 地址不会发生更改。

附加到服务器的私有 IP 地址也不会发生更改。

附加到终端节点的私有 IP 地址不会发生更改。
源 IP 允许列表 此终端节点类型不支持按源 IP 地址列出的允许列表。

该终端节点可公开访问并通过端口 22 侦听流量。
要允许通过源 IP 地址进行访问,可以使用附加到服务器终端节点的安全组和附加到终端节点所在子网的网络访问控制列表(网络 ACL)。 要允许通过源 IP 地址进行访问,可以使用附加到服务器终端节点的安全组和附加到终端节点所在子网的网络 ACL。 要允许通过源 IP 地址进行访问,可以使用附加到服务器终端节点的安全组和附加到终端节点所在子网的网络 ACL。
客户端防火墙允许列表 您必须允许 DNS 服务器的名称。

由于 IP 地址可能会发生更改,因此请避免将 IP 地址用于客户端防火墙允许列表。
您可以允许终端节点的私有 IP 地址或 DNS 名称。 您可以允许服务器的 DNS 名称或附加到服务器的弹性 IP 地址。 您可以允许终端节点的私有 IP 地址或 DNS 名称。

注意:VPC_ENDPOINT 终端节点类型只能在使用 AWS 命令行界面 (AWS CLI)AWS Transfer Family API 创建服务器时使用。

请考虑以下选项以提高您的 AWS Transfer Family 服务器的安全性:

  • 使用拥有内部访问权的 VPC 终端节点,以便服务器只能由 VPC 或本地数据中心等 VPC 连接环境中的客户端通过 AWS Direct Connect 或 VPN 访问。
  • 要允许客户端通过互联网访问终端节点并保护服务器,使用拥有面向互联网的访问权的 VPC 终端节点。然后,修改 VPC 的安全组,以仅允许托管您的用户客户端的特定 IP 地址发出的流量。
  • 在拥有内部访问权的 VPC 终端节点前面使用网络负载均衡器。将负载均衡器上的侦听器端口从端口 22 更改为另一个端口。这可以降低(但不能消除)端口扫描仪和探测您的服务器的机器人的风险,因为端口 22 是最常用的扫描端口。然而,如果您使用网络负载均衡器,您将不能使用安全组允许从源 IP 地址进行访问。
  • 如果您需要基于密码的身份验证并将自定义身份提供商用于您的服务器,我们强烈建议您设置积极的密码策略。最佳做法是您的密码策略阻止用户创建弱密码并限制登录尝试失败的次数。

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?