【问题标题】:How to whitelist VPC outbound traffic如何将 VPC 出站流量列入白名单
【发布时间】:2021-04-07 10:31:34
【问题描述】:

我们如何限制从 AWS VPC 到 Internet 的出站流量,例如限制到某些受信任域的出站流量(URL“白名单”)。 我在考虑 AWS WAF,但它似乎过滤了流向 Web 应用程序的流量,而不是来自 Web 应用程序。 任何想法,建议,提前致谢。

【问题讨论】:

  • 您在寻找代理吗?
  • 是的,是否有任何 AWS 托管服务可以提供此功能?
  • 请看我的回答。其实这样的问题是针对serverfault.com

标签: amazon-web-services amazon-vpc web-application-firewall


【解决方案1】:

您似乎正在寻找代理解决方案。据我所知,目前还没有提供任何托管代理 AWS 服务,但您可以使用 cloudformation、terraform 或类似的方式通过开源解决方案 f.e. 以自己的方式进行设置。

关于您的问题,AWS 上有一篇很好的博文:https://aws.amazon.com/de/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/

也许 AWS Marketplace 上有一些对您有用的东西: https://aws.amazon.com/marketplace/search/results?x=0&y=0&searchTerms=Proxy

【讨论】:

  • 看起来不错,但是这里你需要添加每一个你需要加入白名单的 URL,我正在寻找一个有预定义 URL 链接窗口更新 URL 的解决方案,而不是一个一个的将 URL 列入白名单
  • 嗯,这取决于您需要什么 URL。对于 Windows 更新,如果我理解正确,您可以使用 WSUS aws.amazon.com/de/quickstart/architecture/… 也许在 github/internet 上有完整列表,其中包含 Microsoft 更新所需的 URL,但我不知道,抱歉
  • 您可以尝试 AWS Marketplace 看看是否有人将其作为产品提供。
  • 很好的观点@Adam,我会把它添加到答案中
  • 是的,亚当,我认为 Marketplace 似乎是不错的选择,谢谢
【解决方案2】:

最简单的方法是实现 Aviatrix FQDN 出口过滤器。它只是从一个集中的用户界面中发现,然后将每个 VPC 中的 URL/FQDN 列入白名单/黑名单。

代理实现可能会变得复杂,尤其是。当您必须在每个 VPC 中单独管理它时。并且不提供集中控制,每个 VPC 都必须单独管理。

最简单的方法是获得像 SDxWORx 这样的 Aviatrix 发布合作伙伴,并以 PAYG 折扣价启用它。

https://aws.amazon.com/marketplace/pp/prodview-laruhupdkcpuy/

【讨论】:

  • 是否可以在没有任何第三方解决方案的情况下过滤 FQND?
猜你喜欢
  • 1970-01-01
  • 2012-05-17
  • 1970-01-01
  • 2021-11-16
  • 2018-04-21
  • 2020-03-30
  • 1970-01-01
  • 1970-01-01
  • 2012-03-18
相关资源
最近更新 更多