Блог

Главная - Вопросы по программированию - Правила брандмауэра AWS

Правила брандмауэра AWS

#amazon-web-services #networking #firewall

#amazon-веб-сервисы #сеть #брандмауэр

Вопрос:

Я сталкиваюсь со следующим правилом в aws. Я полагаю, это означает,

  1. первое правило № 100: разрешать любой трафик
    • , запретить любой трафик

В конце концов, трафик отклоняется, верно? В чем тогда цель правила «разрешить»? Что означают оба правила?

введите описание изображения здесь

Ответ №1:

Правила в списках управления доступом упорядочены (в отличие от групп безопасности) от наименьшего к наибольшему числу, при этом конечное правило фиксирует все, что не соответствует правилу.

Поскольку это NACL по умолчанию, цель на самом деле заключается в том, чтобы пользователь, незнакомый (или не желающий использовать) NACL, мог поддерживать работу своей сети, вместо этого они будут полагаться на другие функции, такие как группы безопасности или WAF.

Комментарии:

1. не уверен, понял ли я ваш ответ, мой вопрос касается «реальной» необходимости правила «*», о котором я упоминал выше.

2. Итак, в моем ответе «окончательное правило, фиксирующее все, что не соответствует правилу». в основном пытается указать, что оно является универсальным для любых правил, которые не соответствовали предыдущему правилу.

3. я предполагаю, что в приведенном выше случае он (*) никогда не будет использоваться / запускаться?

4. Да, это правильно, однако, если вы измените NACL по умолчанию, он по-прежнему будет защищать не указанные порты от разрешения 🙂

Ответ №2:

Сетевой ACL по умолчанию настроен таким образом, чтобы разрешить весь трафик поступать в подсети, с которыми он связан, и выходить из них. Каждое сетевое ACL также включает правило, номер правила которого является звездочкой. Это правило гарантирует, что если пакет не соответствует ни одному из других пронумерованных правил, он отклоняется. Вы не можете изменить или удалить это правило.

Пожалуйста, обратитесьhttps://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html

Комментарии:

1. Я просмотрел документацию до того, как задал этот вопрос, в тот момент, когда я был отключен, какой трафик «не соответствует» первому правилу. Кажется, что первое правило учитывает весь трафик

2. В вашем случае «любой трафик» разрешен в первом правиле, поэтому нет смысла проверять правило *. Однако, если у вас есть правило вместо правила «любой трафик» (например, разрешен порт 80), если пакет предназначен для порта HTTPS (443), пакет определенно отклоняется по правилу *. Не путайте с группой безопасности, поскольку списки NACL применимы на уровне подсети.

3. итак, вы имеете в виду «если», есть дополнительное правило, правило «*» не используется, поскольку все выполняется с номером правила «100»?

4. нет, это не значит, что это так. В вашем случае ваше правило 100 разрешает весь трафик в вашу подсеть, поэтому нет смысла в правиле * (которое запрещает весь трафик), потому что оно уже разрешено. Пожалуйста, имейте в виду, что NACL ведет себя скорее как ACL маршрутизатора, контролирующий трафик в подсети и из нее. Например, если вы хотите запретить определенный IP-адрес с порта 80 и разрешить другие, это можно сделать с помощью NACL. В SecurityGroup не разрешено запрещать правила

5. вот что я имею в виду, в данном случае в * rule нет смысла (или не используется ), верно?