【发布时间】:2026-02-11 17:55:01
【问题描述】:
我是 AWS 新手并开始学习。在浏览安全组时,我发现我们可以基于 IP 地址应用规则,但不能基于 DNS 名称。
我参考了互联网上的几个页面:
它们为解决方案提供了替代机制。
但是为什么 AWS 不允许呢?如果我们根据 DNS 名称配置安全组,是否存在任何我遗漏的安全问题?
【问题讨论】:
-
您在问为什么 AWS 选择做某事。这不会是公开的知识,因此您可能只有加入公司并在创建 EC2 和 VPC 的团队中工作才能找到答案!但是,我会担心的一个安全问题是 DNS 名称可能由外部实体控制,该外部实体可以通过更改其 DNS 设置来有效地修改您的安全组。这可能会使系统面临潜在的意外攻击。然后,DNS 所有者可以再次将其更改回来,从而隐藏证据。这不是一种安全的操作方式。
-
@JohnRotenstein 你应该把你的评论变成答案。我会投票赞成。
-
实施防火墙规则的层在它检查的流量中只有 IP 地址。它必须对 IP 执行反向查找才能找到 FQDN。这会很慢,有点不可靠(如果 DNS 暂时不可用怎么办),并且可能不是很安全。
标签: amazon-web-services amazon-ec2 aws-security-group