AWS Network Firewall - 配置只应许白名单域名出入站

参考链接
  1. https://repost.aws/zh-Hans/knowledge-center/network-firewall-configure-domain-rules
  2. https://aws.amazon.com/cn/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/

1. 创建防火墙

选择防火墙的归属子网(选择公有子网)


2. 创建规则白名单域名放行




3. 绑定相关规则

继续往下拉 绑定非托管规则


4. 配置网络路由 相关规则

参考官网

解释

  1. 防火墙的归属子网路由表规则
  2. 机器实例的规则子网路由表规则
  3. 创建单独的路由表边缘关联vpc igw

    先在心里大概有个概念 我们先创建相关资源

4.创建ec2资源 配置eip (有公网ip才能访问公网)

建议新建一个公有子网放这台被防护的机器,稍后会修改成私有子网

注意:想要防火墙保护对应资源 必须配置在私有子网 此子网的路由全部指向防火墙才行

所以 我们需要提前配置好其他内网机器能够ssh跳转到测试机器,也得保证有公网ip

5. 开始配置3个子网路由规则

1.机器的子网路由(上一步新建的需要防火墙防护的机器)

修改此路由表


2. 防火墙的归属子网路由修改确认

vpc 防火墙控制台 点击(在创建防火墙时就选择了公有子网,则无需修改确认下路由即可)

保证防火墙归属子网路由 是有指向到igw 出网的

3. igw的路由表创建和边缘关联


6. 配置完成,测试效果

路由配置较复杂严格参考官网的来

测试

内网机器跳转到实验机器

访问相关配置规则域名

相关推荐
长征coder13 小时前
AWS MySQL 读写分离配置指南
mysql·云计算·aws
墨痕诉清风1 天前
OpenSearch添加仪表盘(elastic、es)
aws·es·waf·opensearch·elastic
sealaugh322 天前
aws(学习笔记第四十八课) appsync-graphql-dynamodb
笔记·学习·aws
moppol3 天前
Serverless 架构入门与实战:AWS Lambda、Azure Functions、Cloudflare Workers 对比
云原生·serverless·aws
观测云3 天前
观测云 × AWS SSO:权限治理可观测实践
云计算·aws
在云上(oncloudai)3 天前
AWS Directory Services全解析
aws
_可乐无糖3 天前
AWS WebRTC: 判断viewer端拉流是否稳定的算法
linux·服务器·webrtc·aws
AWS官方合作商12 天前
AWS ACM 重磅上线:公有 SSL/TLS 证书现可导出,突破 AWS 边界! (突出新功能的重要性和突破性)
服务器·https·ssl·aws
fanstuck12 天前
AI驱动的DevOps运维与云服务部署自动化
运维·aws·自动化运维
忘记安全带13 天前
AWS EC2使用SSM会话管理器连接
服务器·网络·自动化·云计算·aws