Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
哪种类型的端点适合我的 AWS Transfer Family 服务器?
2 分钟阅读
0
我想知道我的 AWS Transfer Family 服务器要使用哪种类型的端点。
解决方法
| 端点类型 | 公共端点 | 具有内部访问权限的 Amazon VPC 端点 | 具有互联网访问权限的 Amazon VPC 端点 |
| 支持的协议 | SFTP | SFTP、FTP、FTPS | SFTP、FTPS |
| 访问 | 您可以通过互联网访问公共端点。您不需要在 Amazon Virtual Private Cloud (Amazon VPC) 中进行特殊配置。 | 您可以通过 AWS Direct Connect 或 VPC 连接的环境来访问 VPC 端点,例如通过 AWS Direct Connect 或 VPN 访问本地数据中心。 | 您可以通过互联网访问 VPC 端点,也可以在 VPC 和 VPC 连接的环境中访问 VPC 端点,例如通过 AWS Direct Connect 或 VPN 访问本地数据中心。 |
| 静态 IP 地址 | 您无法附加静态 IP 地址。AWS 提供的 IP 地址可能会发生变化。 | 端点的私有 IP 地址不会改变。 | 您可以将 Elastic IP 地址附加到端点,例如 AWS 拥有的 IP 地址或您自己的 IP 地址 (BYOIP)。端点的弹性 IP 地址不会改变。服务器的私有 IP 地址也不会改变。 |
| 来源 IP 许可列表 | 公共端点不支持按来源 IP 地址排列的许可列表。公共端点可公开访问,并监听端口 22 上的流量。 | 使用连接到服务器端点的安全组和连接到端点子网的网络访问控制列表(网络 ACL)。 | 使用服务器端点包含的安全组以及连接到包含该端点的子网的网络 ACL。 |
| 客户端防火墙许可列表 | 必须允许服务器的 DNS 域名。由于 IP 地址可能会发生变化,因此最佳实践是不要在客户端防火墙许可列表中使用 IP 地址。 | 您可以允许私有 IP 地址或端点的 DNS 域名。 | 您可以允许服务器的 DNS 名称或连接到服务器的弹性 IP 地址。 |
注意:VPC_ENDPOINT 端点类型已停用。您不能使用此端点类型来创建新服务器。
要提高 AWS Transfer Family 服务器的安全性,请执行以下操作:
- 使用具有内部访问权限的 VPC 端点,这样服务器只能由位于您的 VPC 或 VPC 连接的环境中的客户端访问。
- 要允许客户端通过互联网访问端点并保护您的服务器,请使用具有互联网访问权限的 VPC 端点。然后,修改 VPC 的安全组,使其仅允许来自托管了用户客户端的某些 IP 地址的流量。
- 在具有内部访问权限的 VPC 端点前使用网络负载均衡器。将负载均衡器的监听器端口从端口 22 更改为其他端口,这样端口扫描器和机器人就更难探测您的服务器。对于 SFTP 服务器,AWS Transfer Family 支持自定义端口 2222、22000 和 2223,无需配置网络负载均衡器。
**注意:**如果您使用网络负载均衡器,则不能使用安全组来允许来自源 IP 地址的访问。
重要事项:请勿在 AWS Transfer Family 服务器前端部署网络负载均衡器和 NAT 网关 - 如果您需要基于密码的身份验证并且在服务器上使用自定义身份提供程序,则应强制执行强密码策略。要求用户创建安全密码,并限制登录尝试失败的次数。
相关信息
- 语言
- 中文 (简体)
AWS 官方已更新 4 个月前
没有评论
