AWS नेटवर्क ACL नियम सीमा के आसपास कार्य करना


12

अधिकतम पर, एक VPC नेटवर्क ACL में 40 नियम लागू हो सकते हैं।

मेरे पास 50 से अधिक आईपी पतों की एक सूची है जो मुझे स्पष्ट रूप से किसी भी बंदरगाह और किसी भी प्रोटोकॉल पर हमारे सिस्टम में पहुंच को ब्लॉक करने की आवश्यकता है। यह एक ACL के लिए एक आदर्श उद्देश्य है, लेकिन यह सीमा मुझे इस कार्य को पूरा करने में बाधा डाल रही है।

बेशक, मैं प्रत्येक होस्ट पर IPTables में ऐसा कर सकता हूं, लेकिन मैं किसी भी और सभी ट्रैफ़िक को VPC के सभी घटकों (उदाहरण के लिए ELB के लिए) को अवरुद्ध करना चाहता हूं। इसके अलावा यह कहीं अधिक आदर्श है कि इन नियमों को एक जगह पर प्रत्येक और हर मेजबान को प्रबंधित करें।

मैं उम्मीद कर रहा हूँ कि कोई ऐसा तरीका है जिसे मैं सिस्टम / प्लेटफ़ॉर्म स्तर पर ऐसा नहीं समझ रहा हूँ। सुरक्षा समूह स्पष्ट रूप से अनुमति देते हैं, जिसमें कोई इनकार नहीं किया जाता है, इसलिए वे चाल नहीं करेंगे।


अंपायबल जैसे प्रोविज़निंग सॉफ्टवेयर का उपयोग iptables प्रबंधन के लिए करें और आप कर रहे हैं। जाहिर है कि यह केवल EC2 उदाहरणों में काम करेगा; एलबीएस आदि नहीं
केस्लिक

हाँ, मैं सहमत हूँ कि iptables EC2 के लिए ठीक है लेकिन मेरे इनबाउंड ट्रैफ़िक का 99% हमारे ELB संरचना को हिट करता है। हम इन ज्ञात स्कैमर से कई हिट के लिए भुगतान कर रहे हैं जिनसे हमें निपटना होगा। इनपुट के लिए धन्यवाद
इमदादी

1
50 व्यक्तिगत आईपी को अवरुद्ध करना एक अजीब आवश्यकता की तरह लगता है।
user253751

1
... और आपके किसी भी स्कैमर में डायनेमिक आईपी नहीं है?
user253751

1
कभी-कभी उन्हें खाड़ी में रखता है, कभी-कभी नहीं। यह एक व्यावसायिक अभ्यास है जो ज्यादातर समय काम करने के लिए तथ्यात्मक रूप से साबित हुआ है इसलिए आईपी को रोकने का कोई कारण नहीं है, चाहे आपकी राय कोई भी हो। 16 घंटे में 9 उठने जैसा लगता है यह सवाल जिंदा है यह साबित करता है कि यह एक पागल अनुरोध नहीं है। किसी कारणवश उस गर्व को पकड़े रहो।
ईमेडी

जवाबों:


8

यहाँ एक बाएं क्षेत्र का विचार है .. आप प्रत्येक आईपी के लिए VPC मार्ग तालिका में "टूटे हुए" मार्ग को जोड़कर, 50 अवरुद्ध आईपी को "शून्य-मार्ग" कर सकते हैं।

यह आपके बुनियादी ढांचे (केवल NACLs और SGs को रोकेगा) को रोकने वाले IP से ट्रैफ़िक को नहीं रोकेगा, लेकिन यह वापसी ट्रैफ़िक को "घर वापस" बनाने से रोकेगा।


मैं गलती से एक ट्रांजिट गेटवे बनाकर, रूटिंग सेट करके, फिर ट्रांजिट गेटवे को हटाकर ट्रैफ़िक को शून्य कर देता हूं। हालांकि एक आसान तरीका हो सकता है।
टिम

विचार बुरा नहीं है। बहुत सोच-समझकर बॉक्स आउट किया। मैं कुछ प्रयोग करूँगा। WAF के लिए भुगतान किए बिना जाने का सही तरीका हो सकता है
एममिडी

0

एनएसीएल पर सीमा बढ़ाने का कोई तरीका नहीं है, और एनएसीएल नियमों की एक उच्च संख्या नेटवर्क प्रदर्शन को प्रभावित करती है।

आप सभी के ऊपर एक वास्तुशिल्प मुद्दा हो सकता है।

  1. क्या आपके उदाहरण सार्वजनिक उपनेट में होने चाहिए?
  2. क्या आपने इनबाउंड ट्रैफिक को सीमित करने के लिए NAT गेटवे स्थापित किए हैं?
  3. उन उदाहरणों के लिए जो सार्वजनिक सबनेट में होने चाहिए, क्या आपके पास न्यूनतम इनबाउंड सुरक्षा समूह नियम हैं?
  4. क्या आप CloudFront और आपके लोड Balancers को अवांछित ट्रैफ़िक ब्लॉक करने के लिए AWS WAF IP मैच की स्थितियों का उपयोग कर रहे हैं ?

यदि आप एनएसीएल नियम की सीमा को मार रहे हैं, तो इसकी सबसे अधिक संभावना है क्योंकि आप वीपीसी आर्किटेक्चर के लिए अनुशंसित एडब्ल्यूएस अनुशंसित तरीका नहीं ले रहे हैं और अवांछित ट्रैफिक और ओवरटेक हमलों को रोकने के लिए डब्ल्यूएएफ (और डीडीओएस के लिए शील्ड ) जैसी सेवाओं का उपयोग कर रहे हैं ।

अगर आपकी चिंता DDoS के हमलों की है: Amazon CloudFront और Amazon 53 का उपयोग करके DDoS हमलों के खिलाफ गतिशील वेब अनुप्रयोगों को सुरक्षित रखने में सहायता कैसे करें


NAT गेटवे इनबाउंड के बजाय आउटबाउंड ट्रैफ़िक के लिए हैं।
टिम

@ सही को ठीक करें, इसलिए अपने उदाहरणों को नैट गेटवे के पीछे निजी सबनेट्स में डालकर उन्हें इनबाउंड हमलों को खोलने के बिना आउटबाउंड कनेक्टिविटी देता है, और एनएसीएल

बहुत उच्च यातायात वेबसाइटों के लिए WAF बहुत महंगा है। उस कारण से बचने की कोशिश कर रहा है। तथ्य यह है कि सुरक्षा समूह स्पष्ट ब्लॉक नहीं कर सकते हैं और एसीएल की यह सीमा एक प्रमुख नकदी हड़पने की तरह है।
ईमेडी

मुझे लगता है कि यह उपयोग के मामले पर निर्भर करता है, जिसे समझाया नहीं गया है। यदि इन IP को ब्लॉक करने का कारण यह है कि वे एक वेब सर्वर पर हमला कर रहे हैं, तो अभी भी सर्वरों के लिए सार्वजनिक उपयोग की आवश्यकता है, जिसका अर्थ है लोड बैलेंसर या प्रॉक्सी। एक निजी सबनेट उस मामले में मदद नहीं करेगा।
टिम

मेरा उपयोग मामला 99% ईएलबी का आवक यातायात है। ईएलबी के पीछे ईसी 2 उदाहरण निजी हैं।
इमामी

0

यह वही नहीं है जो आपने मांगा था, लेकिन यह काम काफी अच्छी तरह से कर सकता है।

अपने बुनियादी ढांचे के सामने CloudFront सेट करें। ट्रैफ़िक को प्रभावी ढंग से अवरुद्ध करने के लिए आईपी ​​मैच की स्थितियों का उपयोग करें । CloudFront स्थिर और गतिशील सामग्री दोनों के साथ काम करती है, और गतिशील सामग्री को गति दे सकती है क्योंकि यह सार्वजनिक इंटरनेट के बजाय AWS बैकबोन का उपयोग करता है। यहाँ डॉक्स का कहना है

यदि आप कुछ वेब अनुरोधों की अनुमति देना चाहते हैं और जिन IP पतों के आधार पर दूसरों से अनुरोध करते हैं, उन्हें IP पतों के लिए एक IP मिलान स्थिति बनाएँ, जिसे आप अनुमति देना चाहते हैं और IP पतों के लिए एक और IP मिलान स्थिति जिसे आप ब्लॉक करना चाहते हैं, बनाएं। ।

क्लाउडफ्रंट का उपयोग करते समय आपको सुरक्षा समूहों का उपयोग करके किसी भी सार्वजनिक संसाधनों तक सीधी पहुंच को अवरुद्ध करना चाहिए। एडब्ल्यूएस अद्यतन सुरक्षा समूह लैम्ब्डा तारीख को अपनी सुरक्षा समूहों को रखेंगे में CloudFront यातायात देता है, लेकिन अन्य यातायात अस्वीकार करने के लिए। अगर आप http को https में CloudFront का उपयोग करके रीडायरेक्ट करते हैं तो आप अपने इन्फ्रास्ट्रक्चर को रोकने के लिए स्क्रिप्ट को थोड़ा ट्विट कर सकते हैं। आप किसी भी IP को श्वेतसूची में कर सकते हैं, जिसे सीधे व्यवस्थापक एक्सेस की आवश्यकता होती है।

वैकल्पिक रूप से, आप CloudFlare जैसे किसी तृतीय पक्ष CDN का उपयोग कर सकते हैं। CloudFlare में एक प्रभावी फ़ायरवॉल है, लेकिन नियमों की संख्या के लिए आप इसे प्रति माह 200 डॉलर चाहते हैं। यह CloudFront से सस्ता हो सकता है, AWS बैंडविड्थ काफी महंगा है। मुफ्त की योजना आपको केवल 5 फ़ायरवॉल नियम देती है।


हम पहले से ही स्थिर सामग्री के लिए क्लाउड फ्रंट का उपयोग करते हैं, लेकिन बहुत सारी साइटें गतिशील वेब सामग्री हैं।
ईमडी

CloudFront का उपयोग डायनामिक कंटेंट aws.amazon.com/blogs/networking-and-content-delivery/…
Fo के

CloudFront डायनामिक कंटेंट को गति दे सकती है, मेरा मानना ​​है कि यह सार्वजनिक इंटरनेट के बजाय AWS बैकबोन का उपयोग करता है। CloudFront में EC2 की तुलना में थोड़ा सस्ता बैंडविड्थ है, और मुझे लगता है कि मैंने कुछ समय पहले एक घोषणा देखी थी कि CloudFront EC2 पर वापस फ्री है।
टिम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.