使用 AWS Firewall Manager 中央管理 VPC 网络 ACL 规则以阻止不必要的流
使用 AWS 管理 VPC 网络 ACL 规则以阻止不必要的流量
关键要点
AWS 提供网络 ACL 和安全组来控制网络流量。网络 ACL 可以拒绝特定流量,而安全组无法。使用 AWS Firewall Manager 能够集中管理网络 ACL 规则,简化多 AWS 账户的管理挑战。本文展示如何设置网络 ACL 安全策略以阻止入站和出站流量。通过 Amazon Virtual Private Cloud (Amazon VPC),用户可以利用两种方式控制网络流量: 网络访问控制列表ACL和 安全组。网络 ACL 定义了基于协议、IP 地址范围和端口范围的入站和出站规则,而安全组则决定了在网络接口上允许哪些入站和出站流量,但不能像网络 ACL 那样显式拒绝流量。每个 VPC 子网 都与一个网络 ACL 关联,该 ACL 最终决定了哪些流量可以进入或离开子网,即使安全组允许它。网络 ACL 提供了一层网络控制,以增强安全组的功能。
在某些情况下,您可能希望拒绝特定来源或目标,即使在安全组允许的流量范围内。例如,您想拒绝来自恶意来源的入站流量,或阻止出站流量到某些端口或协议下的利用或恶意软件。安全组规则只能控制允许的流量。如果您想在安全组允许的流量范围内拒绝特定流量,则需要使用网络 ACL 规则。如果您想在多个 VPC 中拒绝特定类型的流量,您需要更新每个 VPC 中每个子网关联的网络 ACL。我们听取了客户的反馈,发现实现一套通用网络 ACL 规则的基线在多个 Amazon Web Services (AWS) 账户中管理具有挑战性,因此我们扩展了 AWS Firewall Manager 的功能,以简化这一过程。
AWS Firewall Manager 的网络 ACL 安全策略 使您能够在组织中的多个 AWS 账户中集中管理 VPC 子网的网络 ACL 规则。以下部分展示了如何使用网络 ACL 策略来管理拒绝入站和出站流量的常见网络 ACL 规则。
使用网络 ACL 安全策略拒绝入站流量
如果未设置 Firewall Manager 管理员账户,请查阅 Firewall Manager 前提条件。请注意,网络 ACL 策略要求您的 AWS Config 配置记录器包含 AWSEC2NetworkAcl 和 AWSEC2Subnet 资源类型。
接下来是如何使用 Firewall Manager 中央管理拒绝来自公共源 IP 范围的入站流量的网络 ACL 规则的示例。
拒绝入站流量的步骤:
登录您的 Firewall Manager 委托管理员账户,打开 AWS 管理控制台,进入 Firewall Manager。在导航窗格中,选择 AWS Firewall Manager 下的 安全策略。在 过滤器 菜单中,选择定义您 VPC 子网的 AWS 区域,并选择 创建策略。在这个例子中,我们选择 US East (N Virginia)。在 策略详情 中,选择 网络 ACL,然后选择 下一步。输入 策略名称 和 策略描述。在 网络 ACL 策略规则 部分,选择 入站规则 选项卡。在 第一规则 部分,选择 添加规则。在 入站规则 窗口,选择 添加入站规则。为 入站规则 选择以下内容:对于 类型,选择 所有流量。对于 协议,选择 所有。对于 端口范围,选择 所有。对于 源,输入您想拒绝的 IP 地址范围。在此示例中,我们使用 192020/24。对于 操作,选择 拒绝。选择 添加规则。在 网络 ACL 策略规则 中,查看拒绝规则。在 策略操作 中,选择:选择 自动修复任何不合规资源。在 强制修复 下,选择 强制修复第一规则。Firewall Manager 会比较您现有的网络 ACL 规则与政策中定义的规则。在政策规则与现有规则在协议、地址范围或端口范围上有冲突的情况下,Firewall Manager 不会修复网络 ACL,除非您启用 强制修复。
选择 下一步。在 策略范围 中,选择以下内容:在 此策略适用的 AWS 账户 下,选择适用的账户范围。在此示例中,我们只选择所有账户。在 资源类型 下,选择 子网。在 资源 下,选择适用的资源范围。在此示例中,我们仅包括具有特定标签的子网。
在创建 Firewall Manager 策略之前,子网与默认网络 ACL 相关联,如图 10 所示。
如图 11 所示,子网现已关联到由 Firewall Manager 管理的网络 ACL。原始允许规则已被保留并移至优先级 5000。拒绝规则已加入,优先级为 1。
使用网络 ACL 安全策略拒绝出站流量
您还可以使用 Firewall Manager 实施出站网络 ACL 规则,以拒绝恶意软件或软件漏洞使用的端口。在这个例子中,我们阻止使用 LDAP 端口 389。
登录您的 Firewall Manager 委托管理员账户,打开 Firewall Manager 控制台。在导航窗格中,选择 AWS Firewall Manager 下的 安全策略。在 过滤器 菜单中,选择定义您 VPC 子网的 AWS 区域,并选择 创建策略。在这个例子中,我们选择 US East (N Virginia)。在 策略详情 中,选择 网络 ACL,然后选择 下一步。输入 策略名称 和 策略描述。在 网络 ACL 策略规则 部分,选择 出站规则 选项卡。在 第一规则 部分,选择 添加规则。蘑菇加速器官网正版安装在 出站规则 下,选择 添加出站规则。在 出站规则 中,选择以下内容:对于 类型,选择 LDAP (389)。对于 目标,输入 0000/0。对于 操作,选择 拒绝。选择 添加规则。在 网络 ACL 策略规则 页面中,查看拒绝规则。在 策略操作 部分,选择:选择 自动修复任何不合规资源。在 强制修复 下,选择 强制修复第一规则,然后选择 下一步。在 政策范围 中,选择以下内容:在 此策略适用的 AWS 账户 下,选择适用的账户范围。在此示例中,我们选择 包括我组织下的所有账户。在 资源类型 下,选择 子网。在 资源 下,选择适用的资源范围。在此示例中,我们选择 包含具有所有指定资源标签的子网。在 资源清理 中,启用资源清理,允许 Firewall Manager 移除它添加到不再在范围内的子网关联的网络 ACL 的规则。如果要启用资源清理,请选择 自动从离开策略范围的资源中移除保护,然后选择 下一步。在 配置策略标签 中,定义要与策略关联的标签,然后选择 下一步。在 审核并创建策略 页面,选择 下一步。在创建 Firewall Manager 策略之前,子网与一个已经包含优先级为 100 和 101 的网络 ACL 关联,如图 18 所示。
如图 19 所示,子网现在与由 Firewall Manager 管理的网络 ACL 关联。原始规则已被保留并移至优先级 5000 和 5100。拒绝 LDAP 的规则已加入,优先级为 1。
使用 Firewall Manager 管理的网络 ACL
Firewall Manager 网络 ACL 策略允许您管理最多 5 条入站规则和 5 条出站规则。默认情况下,网络 ACL 可以支持总共 20 条入站规则和 20 条出站规则。此限制可以增加到 40 条入站规则和 40 条出站规则,但可能会对网络性能产生影响。如果您需要支持更多规则和更广泛的功能,请考虑 AWS 网络防火墙。
要诊断过于严格的网络 ACL 规则,请参阅 查询 Amazon VPC 流日志 以了解有关使用 Amazon Athena 分析您的 VPC 流日志 的更多信息。
处于您的 Firewall Manager 策略范围内的 AWS 账户可能具有修改由 Firewall Manager 创建的网络 ACL 的权限。您可以使用 服务控制策略SCP拒绝 AWS 身份和访问管理 行为,以确保网络 ACL 仅由 Firewall Manager 管理。Firewall Manager 使用 服务关联角色,这些角色不会受到 SCP 的限制。以下示例 SCP 拒绝网络 ACL 更新,而不会限制 Firewall Manager:
json{ Version 20121017 Statement [ { Sid DenyNaclUpdateExceptFMS Effect Deny Action [ ec2CreateNetworkAclEntry ec2DeleteNetworkAclEntry ec2ReplaceNetworkAclAssociation ec2ReplaceNetworkAclEntry ] Resource } ]}
总结
在 AWS Firewall Manager 网络 ACL 安全策略发布之前,您必须实施自己的流程来协调对组织内 VPC 子网的网络 ACL 的更新。AWS Firewall Manager 网络 ACL 安全策略允许您集中定义通用网络 ACL 规则,这些规则会自动应用到组织内的 VPC 子网,即使您新增账户和资源。此文展示了如何在各种场景中使用网络 ACL 策略,例如阻止来自恶意来源的入站流量和阻止到恶意软件和漏洞使用的目的地的出站流量。您还可以使用网络 ACL 策略来实施允许列表。例如,您可能只想允许出站流量到您的本地网络。
欲了解更多信息,请探索 Firewall Manager 控制台 中的网络 ACL 安全策略。有关详细信息,请参阅 AWS Firewall Manager 开发者指南,并通过 [AWS rePost for AWS Firewall Manager](https
