AWS Network Firewall - IGW方式配置只应许白名单域名出入站
参考链接
- https://repost.aws/zh-Hans/knowledge-center/network-firewall-configure-domain-rules
- https://aws.amazon.com/cn/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/
1. 创建防火墙
选择防火墙的归属子网(选择公有子网)
2. 创建规则白名单域名放行
3. 绑定相关规则
继续往下拉 绑定非托管规则
4. 配置网络路由 相关规则
参考官网
解释
- 防火墙的归属子网路由表规则
- 机器实例的规则子网路由表规则
- 创建单独的路由表边缘关联vpc igw
先在心里大概有个概念 我们先创建相关资源
4.创建ec2资源 配置eip (有公网ip才能访问公网)
建议新建一个公有子网放这台被防护的机器,稍后会修改成私有子网
注意:想要防火墙保护对应资源 必须配置在私有子网 此子网的路由全部指向防火墙才行
所以 我们需要提前配置好其他内网机器能够ssh跳转到测试机器,也得保证有公网ip
5. 开始配置3个子网路由规则
1.机器的子网路由(上一步新建的需要防火墙防护的机器)
修改此路由表
2. 防火墙的归属子网路由修改确认
vpc 防火墙控制台 点击(在创建防火墙时就选择了公有子网,则无需修改确认下路由即可)
保证防火墙归属子网路由 是有指向到igw 出网的
3. igw的路由表创建和边缘关联
6. 配置完成,测试效果
路由配置较复杂严格参考官网的来
测试
内网机器跳转到实验机器
访问相关配置规则域名
