Princewill-chala/aws-secure-two-tier-architecture

GitHub: Princewill-chala/aws-secure-two-tier-architecture

该项目演示如何在 AWS 上构建一个公共 Web 层与私有后端层相隔离的安全双层云架构。

Stars: 1 | Forks: 0

# AWS-Secure-Two-Tier-Architecture ![background_image](https://raw.githubusercontent.com/Princewill-chala/aws-secure-two-tier-architecture/main/screenshots/image(1).jpg) ## 目录 - [概述](#project-overview) - [架构说明](#architecture) - [实施步骤](#implementation-steps) - [安全考量](#security-considerations) ## 项目概述 本项目演示了如何使用 Amazon Web Services (AWS) 设计和部署安全的双层云架构。该架构由一个公共 Web 服务器和一个私有后端服务器组成,以模拟现实世界中安全的基础设施。 目标是确保后端服务器无法从互联网访问,同时仍允许来自 Web 服务器的通信。 ## 架构 ``` Internet │ ▼ Public EC2 (Web Server) │ ▼ Private EC2 (Backend Server) The web server is publicly accessible, while the backend server is protected and only accessible through the web server. ``` ## 使用技术 - Amazon Web Services (AWS) - EC2 Instances - Security Groups - Ubuntu Server 22.04 - Apache Web Server - MySQL Database - SSH ## 实施步骤 ### 1. Security Group 配置 创建了两个 Security Group: Web Server Security Group: - 允许来自任何地方的 HTTP(端口 80)访问 - 仅允许来自学生 IP 的 SSH(端口 22)访问 ![webserver_sg](https://static.pigsec.cn/wp-content/uploads/repos/cas/7d/7d03f63f368c824cb31d2583758092e7bd4ab4ecf1d12947ad19c566212943a7.png) Backend Server Security Group: - 仅允许来自 Web Server Security Group 的 SSH(端口 22)访问 ![backendserver_sg](https://static.pigsec.cn/wp-content/uploads/repos/cas/28/280bc7a24d00cdc071bc6e1dba100eb6437409b7f7b567f211710548fba7add7.png) 这确保了服务器之间的受控通信。 ### 2. EC2 Instance 部署 启动了两个 EC2 Instances: Web Server - Ubuntu 22.04 - Instance type:t2.micro - 已启用 Public IP ![ec2_webserver](https://static.pigsec.cn/wp-content/uploads/repos/cas/36/36888a7aed875d279fec64c7cef3d1d3f43b1f88ebd124a0f87830d97ae78a77.png) Backend Server - Ubuntu 22.04 - Instance type:t2.micro - 已禁用 Public IP ![backend_noIP](https://static.pigsec.cn/wp-content/uploads/repos/cas/5f/5f03f2ce73e3416df75d86d6ae4c3362d660c55ada5fd18b6ba568731c86ddff.png) ### 3. 安全的服务器访问 首先从本地机器通过 SSH 建立到 Web 服务器的访问。然后从 Web 服务器,通过其私有 IP 地址使用 SSH 访问后端服务器。 ![web_ssh](https://static.pigsec.cn/wp-content/uploads/repos/cas/c5/c59bd90cbde123d17f7033061bf07342b2cdd895c496ba94ff46b1a8a5584f97.png) 由于 Security Group 的限制,无法从本地机器直接通过 SSH 访问后端服务器。 ![backend_error](https://static.pigsec.cn/wp-content/uploads/repos/cas/b4/b4024d8c3b82a675449172dc0550a23858ec53c88b8c885825894582a4aa4fdc.png) ### 4. 服务安装 在 Web 服务器上安装了 Apache Web 服务器以提供网页服务。在后端服务器上安装了 MySQL 数据库服务器以模拟后端服务。 ![apache_page](https://static.pigsec.cn/wp-content/uploads/repos/cas/5d/5d0ed68588b5f942997275fbaec848ac58e450a0befd90086ed513b2fa1f6e4f.png) ![mysql_status](https://static.pigsec.cn/wp-content/uploads/repos/cas/c4/c4016c2c8bde32c2ff1083b47f36cd146065cb84a4830a7b977e36370aa056d4.png) ## 安全考量 根据最小权限原则配置了 Security Groups。后端服务器在部署时没有 Public IP 地址,以防止直接的互联网访问。服务器之间的通信仅限于必要的端口,从而确保架构保持安全和隔离。 ## 项目验证 通过 Web 浏览器使用其 Public IP 地址成功访问了 Web 服务器。尝试直接从互联网访问后端服务器的操作失败,确认了后端服务器保持隔离并受到保护。 ## 作者 Elochukwu Princewill Cloud Computing • Cybersecurity ## ⭐ 如果您觉得这个项目有帮助 欢迎为这个代码仓库加 ⭐ 标星,并查看我其他 AWS 实践项目,我将继续构建实用的云工程解决方案。
标签:AWS, DPI, VPC, 云计算, 安全配置, 漏洞利用检测, 系统运维, 网络架构, 规则引擎