介绍
AWS 中的虚拟私有云或 VPC 提供了一种隔离特定 AWS 账户中的网络的方法。然而,最终,外部网络流量很有可能会出现在 VPC 中。这意味着可能需要额外的设置来进一步保护 VPC 环境。让我们看一下执行此操作的几种方法。
基础知识
但首先,是时候解释一些网络基础知识并深入了解幕后的工作原理。大量的网络通信将通过TCP/IP 协议进行。这是基于客户端-服务器通信的。在基本层面上,您需要客户端 IP、客户端端口、服务器 IP 和服务器端口。现在假设 Web 服务器连接到端口 80,客户端会发生什么情况?
事实证明,操作系统有一种叫做临时端口的东西。它本质上是操作系统在非服务器情况下使用的一系列端口。这是 Windows 上的示例:
使用资源监视器的网络地址信息
在本例中,Dropbox 客户端正在连接其服务器上的 SSL 端口,本地端口为 49694。
NACL
现在,在子网级别有可以在这个低级别上运行的网络访问控制列表或 NACL。为了使大多数功能正常工作,您需要允许入站和出站流量的临时端口。您还必须知道临时端口范围是什么,因为它可以根据操作系统进行调整或变化。除非您的合规性设置极高或有网络要求。由于需要单独的传入和传出流量设置,NACL 通常被称为无状态防火墙。
安全组
另一方面,现在安全组是状态防火墙。换句话说,它在连接的生命周期内跟踪连接,您只需关心源是传入还是传出。之后,它会密切关注流量并自动处理诸如允许相关临时端口进行流量会话之类的事情。这是很好的安全措施,因为它避免了保持整个端口范围开放。
就威胁模型而言,从实例开始的通信通常被认为是安全的