我有装有Windows Server的EC2实例,我只在RDP中使用它。我可以以某种方式阻止从浏览器到特定域(例如 abc.example.com(或 URL 的出站流量吗?我宁愿在 AWS 控制面板中执行此操作,以便 RDP 用户无权将此域/URL 列入白名单。
我怎样才能做到这一点?谢谢!
没有本机AWS解决方案,当然,您可以只允许特定的IP地址。这样做的问题是对于这些域可能会更改,当您查看云时,您可以看到许多服务(例如负载平衡器和 CDN(将更改其 IP 地址。
理想的解决方案是部署一个能够根据域名过滤出站流量的软件(在 EC2 上运行(。AWS Marketplace 上有解决方案,以及使用哑代理进行筛选。
网络设置将涉及您创建多个包含 EC2 实例的子网。这些将有一个路由表将所有流量 (0.0.0.0/0( 转发到 NAT。
然后,对于需要过滤其出站流量的所有应用程序,它们将更新其路由表,将所有流量 (0.0.0.0/0( 路由到其中一个过滤主机的 ENI(理想情况下在同一可用区中(。
详细信息:https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/
您可以配置访问控制列表 (ACL( 和安全组来过滤出站流量。但是,这两种工具都只允许基于 IP 地址进行过滤,而不允许基于域进行过滤。
如果您确信 IP 地址不会更改,则可以配置这些服务。如果您对维护黑名单不感兴趣,则可能需要检查一些操作系统级别的限制。
最简单和最简单的方法是实现 Aviatrix FQDN 出口过滤器。它只是通过集中式用户界面将每个 VPC 中的 URL 列入白名单/黑名单。
下一代防火墙 (NGFW( 实施,只是为了实现 URL/FQDN 过滤是一种矫枉过正,特别是从成本的角度来看,代理实现有其复杂性并且不提供集中控制,每个 VPC 都必须单独管理。
最简单的方法是获得像 SDxWORx 这样的 Aviatrix 启动合作伙伴,并以折扣 PAYG 定价启用它。
https://aws.amazon.com/marketplace/pp/prodview-laruhupdkcpuy/