AWS Network Firewall - 配置只应许白名单域名出入站

参考链接
  1. https://repost.aws/zh-Hans/knowledge-center/network-firewall-configure-domain-rules
  2. https://aws.amazon.com/cn/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/

1. 创建防火墙

选择防火墙的归属子网(选择公有子网)


2. 创建规则白名单域名放行




3. 绑定相关规则

继续往下拉 绑定非托管规则


4. 配置网络路由 相关规则

参考官网

解释

  1. 防火墙的归属子网路由表规则
  2. 机器实例的规则子网路由表规则
  3. 创建单独的路由表边缘关联vpc igw

    先在心里大概有个概念 我们先创建相关资源

4.创建ec2资源 配置eip (有公网ip才能访问公网)

建议新建一个公有子网放这台被防护的机器,稍后会修改成私有子网

注意:想要防火墙保护对应资源 必须配置在私有子网 此子网的路由全部指向防火墙才行

所以 我们需要提前配置好其他内网机器能够ssh跳转到测试机器,也得保证有公网ip

5. 开始配置3个子网路由规则

1.机器的子网路由(上一步新建的需要防火墙防护的机器)

修改此路由表


2. 防火墙的归属子网路由修改确认

vpc 防火墙控制台 点击(在创建防火墙时就选择了公有子网,则无需修改确认下路由即可)

保证防火墙归属子网路由 是有指向到igw 出网的

3. igw的路由表创建和边缘关联


6. 配置完成,测试效果

路由配置较复杂严格参考官网的来

测试

内网机器跳转到实验机器

访问相关配置规则域名

相关推荐
运维开发王义杰5 小时前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
长征coder19 小时前
AWS MySQL 读写分离配置指南
mysql·云计算·aws
墨痕诉清风2 天前
OpenSearch添加仪表盘(elastic、es)
aws·es·waf·opensearch·elastic
sealaugh322 天前
aws(学习笔记第四十八课) appsync-graphql-dynamodb
笔记·学习·aws
moppol3 天前
Serverless 架构入门与实战:AWS Lambda、Azure Functions、Cloudflare Workers 对比
云原生·serverless·aws
观测云3 天前
观测云 × AWS SSO:权限治理可观测实践
云计算·aws
在云上(oncloudai)3 天前
AWS Directory Services全解析
aws
_可乐无糖3 天前
AWS WebRTC: 判断viewer端拉流是否稳定的算法
linux·服务器·webrtc·aws
AWS官方合作商12 天前
AWS ACM 重磅上线:公有 SSL/TLS 证书现可导出,突破 AWS 边界! (突出新功能的重要性和突破性)
服务器·https·ssl·aws
fanstuck13 天前
AI驱动的DevOps运维与云服务部署自动化
运维·aws·自动化运维