允许访问管理界面对生产网站

Question

1. 我们即将GO-LIVE与网站（亚马逊EC2 /ELB），其中包含细腻的用户信息。

2. 不管原因为什么我们要做到这一点，我们的问题：

   A.将它固定到足以允许通过ADMIN访问： https://www.website.com/admin-path？ （使用：robotos.txt/crednitals /限制IP来保护它）。

   B.如果答案是肯定的，是否有任何ELB实例规则可以帮助保持这种配置的安全。

Answer 1

我们目前的解决方案是：

• 亚马逊侧

  • 我们正在与亚马逊ELB（负载平衡器），从而工作：
  • 打开特定HTTP端口（例如8080）。
  • 配置安全组，以允许此URL访问：端口只为我们 特定IP

• 我们的应用程序端的

  • 链接不可搜索（机器人等）。
  • 可以使用凭据访问Url。

Answer 2

取决于你是否正在使用VPC为后端情况下，你可以申请security groups to your ELB。就像EC2安全组一样，这些将限制所有基于IP地址的访问。

如果您在ELB前使用CloudFront为您的网站提供CDN服务，那么您可以利用亚马逊最近宣布的Web Application Firewall (WAF)来提供更加细致的访问。例如，使用WAF，您可以将对/ admin-path的访问限制为特定的IP地址或地址范围。您还可以根据其他HTTP标头限制访问，因此，如果使用某些Cookie，如果使用特定浏览器（通过用户代理字符串），从您自己的域中提供推荐等，则只允许访问。

关于你唯一的其他选择是推出你自己的安全。我们使用Apache前进我们的应用程序，并且我们制定了限制访问多个级别的管理URL的规则。 HTTP认证密码是必需的，访问必须来自一组定义好的IP地址，等等。在Apache（或几乎任何Web服务器）内部做这些工作相对比较简单。