【開局地端紅隊小白與雲端資安的清晨Punch】Day16 AWS NACL, site to site VPN

16th鐵人賽防火牆 nacl

130 瀏覽

防禦策略與防火牆設定

參考: 公司上櫃資訊內控審計之準備 2010 iT 邦幫忙鐵人賽 IT上櫃心法
參考: [IT上櫃心法]-22.防火牆設定
參考: Stateful vs. Stateless Firewall
參考: 什麼是下一代防火牆 (NGFW)？

參考: 無限手套 AWS 版：掌控一切的 5 + 1 雲端必學主題
 Amazon Cloud Service 30 days challenge

參考: AWS VPC NACL

參考: AWS — 學習筆記(1) Deploy ENV/EC2
參考:AWS — 學習筆記(2) NAT/Container Service
參考:AWS — 學習筆記(3) Deploy ELB

目前: Security group + public subnet, 裡面有兩個EC2 (僅只有下圖的左半Security Group，沒有建立Private subnet)

參考:AWS — 學習筆記(2) NAT/Container Service

VPC --> Netwark ACLs --> Create network ACL

TCP 協議中的端口號範圍是從 0~65535。這個範圍中的端口號被分為三個部分：(若寫0-65535則等於All TCP)

知名端口（Well-known Ports）：這些端口號範圍從 0 到 1023。知名端口通常是一些廣泛使用的服務所使用的，例如 HTTP 服務（端口 80）和 HTTPS 服務（端口 443）。
註冊端口（Registered Ports）：這些端口號範圍從 1024 到 49151。註冊端口通常用於註冊了的應用程序，但不像知名端口那樣廣泛使用。
動態或私有端口（Dynamic or Private Ports）：這些端口號範圍從 49152 到 65535。這些端口通常由客戶端應用程序動態分配，用於與伺服器端進行通信。

VPC --> Route Table --> Edit subnet associations --> Save associations

inbound / outbound rules 區分
- inbound是從我們的電腦連線到EC2，所以是針對主機(ipinfo: 公司位址)
如何只擋掉特定IP(By source / destination)，是本機端的IP ex: 172.18.2.214/23
- 直接將resource IP 設為欲封鎖IP
cloud firewall的stateless, stateful差別
- 進階版(Cloud為地端的延伸)
Port號，為什麼要把HTTP,HTTPS,SSH,ICMP特別拉出來(只有開他們無法連線，但開了All TCP or custom TCP又等於都開啟)
- 針對特定功能的IP的Port做處理
- Ex: 家裡有很多扇門，欲設每一扇都鎖住，開白名單等於把限制訪客(特定IP)只能透過某一扇門(port)來通過
privite subnet的routing table為什麼需要3個(而不是兩個)
- 系統本來就有的routing tables(因為雲端本來就是在同個VPC下，代表本來就在同個routing table連結)
NAT主要是把private subnet轉譯到public?
NGFW 跟雲端防火牆的差異下一代防火牆 (NGFW) 與防火牆即服務 (FWaaS)