21.9. 防火墙和实例配置集

大多数常见操作系统包括基于主机的防火墙，以提供额外的安全层。虽然实例应尽可能少地运行（如果可能的话），但实例上运行的所有应用都应经过性能分析，以确定应用需要访问的系统资源、运行所需的最低权限级别以及预期的网络流量将来自虚拟机。此预期的流量应作为允许流量添加到基于主机的防火墙中，以及任何必要的日志记录和管理通信，如 SSH 或 RDP。所有其他流量都应该在防火墙配置中明确拒绝。

在 Linux 实例上，上述应用程序配置文件可与 audit2allow 等工具一起使用，以构建 SELinux 策略，进一步保护大多数 Linux 发行版上的敏感系统信息。SELinux 结合使用用户、策略和安全上下文，将应用程序所需的资源划分到运行，并从不需要的其他系统资源进行分段。