16.9. 防火墙和实例配置集

大多数常见操作系统都包括基于主机的防火墙，以实现额外的安全层。虽然实例应尽可能少运行（如果是单用途实例），但实例上运行的所有应用程序都应被设置，以确定应用程序需要访问哪些系统资源、运行所需的最低特权级别以及预期网络流量将进入和来自虚拟机的预期网络流量。此预期流量应当作为允许的流量添加到基于主机的防火墙中，以及任何必要的日志记录和管理通信，如 SSH 或 RDP。防火墙配置中应明确拒绝所有其他流量。

在 Linux 实例上，上面的应用程序配置集可与 audit2allow 等工具一起使用，以构建 SELinux 策略，进一步保护大多数 Linux 发行版上的敏感系统信息。SELinux 使用用户、策略和安全上下文的组合来比较应用程序运行所需的资源，并从不需要的其他系统资源中进行分段。