AWS 網路防火牆 (AWS Network Firewall) 是一項管理服務,提供一種方便的方法來為您的虛擬私有雲 (VPC) 部署基本的網路保護。在這篇文章中,我們將討論地理 IP 過濾 (Geographic IP Filtering),這是網路防火牆的一項新功能,您可以用來根據地理位置過濾流量並滿足合規要求。
擁有面向網際網路應用程式的客戶不斷需要先進的安全功能來保護他們的應用程式免受威脅者的攻擊。這包括因安全風險而限制 Amazon Web Services (AWS) 工作負載的流量進出某些地區。在高度受監管的行業中運營的客戶,例如銀行業、公共部門或保險業,可能有特定的安全要求,這些要求可以通過地理 IP 過濾來解決。
以前,客戶必須依賴第三方工具來檢索特定國家的 IP 位址列表,並定期更新他們的防火牆規則以滿足適用的要求。現在,通過網路防火牆上的地理 IP 過濾,您可以根據 IP 位址的地理位置來保護您的應用程式工作負載。隨著網際網路指配號碼管理局 (IANA) 分配新的 IP 位址,網路防火牆下的地理 IP 資料庫會自動更新,以便服務能夠根據國家代碼一致地過濾來自特定國家的入站和出站流量。它支持 IPv4 和 IPv6 流量。
地理 IP 過濾在今天所有提供網路防火牆的 AWS 區域中均受支持,包括 AWS GovCloud (美國) 區域。
在網路防火牆中設置地理 IP 過濾
您可以使用網路防火牆來檢查網路流量,並使用第 3 層到第 7 層規則(OSI 模型的網路層到應用層)保護您的 VPC。當流量到達網路防火牆時,它會從地理 IP 資料庫中識別來源和目的地 IP 位址的位置,如果您有防火牆規則來阻止該位置,則會阻止流量。您可以選擇允許、丟棄、拒絕或為來自或發往特定國家的流量創建警報。
在設置地理 IP 過濾規則之前,您需要部署網路防火牆並附加防火牆策略。您可以在網路防火牆入門指南中了解這些步驟的更多資訊。您可以使用 AWS 管理控制台、AWS 命令行介面 (AWS CLI)、AWS SDK 或網路防火牆 API 在幾分鐘內配置網路防火牆地理 IP 過濾。
要使用控制台配置地理 IP 過濾規則:
- 登入 AWS 管理控制台並打開 Amazon VPC 控制台。
- 在導航窗格中,選擇網路防火牆下的網路防火牆規則組。
- 選擇創建規則組。
- 在創建規則組頁面中,對於規則組類型,選擇有狀態規則組。
- 對於規則組格式,選擇標準有狀態規則。
- 對於規則評估順序,選擇嚴格順序(推薦)或動作順序。
- 輸入有狀態規則組的名稱。
- 對於容量,輸入您希望允許的有狀態規則組的最大容量。
- 在標準有狀態規則下,對於地理 IP 過濾,選擇您想要禁用地理 IP 過濾、僅匹配選定國家或匹配除選定國家之外的所有國家。
- 如果您選擇地理 IP 過濾,則選擇您想要過濾流量的地理 IP 流量方向和國家代碼。
- 輸入協議、來源、來源端口、目的地和目的地端口的適當值。
- 對於動作,選擇當數據包符合規則設置時您希望網路防火牆採取的動作。
圖 1:標準有狀態規則
點擊添加規則,然後審核規則以創建規則組。
圖 2:地理 IP 過濾規則
Suricata 相容性
您還可以使用 Suricata 相容規則字串與 geoip 關鍵字一起使用地理 IP 過濾。
要創建 Suricata 相容規則字串:
- 按照前面程序的步驟 1 到 4。
- 對於規則組格式,選擇 Suricata 相容規則字串。
- 對於規則評估順序,選擇嚴格順序(推薦)或動作順序。
- 輸入有狀態規則組的名稱。
- 對於容量,輸入您希望允許的有狀態規則組的最大容量。
- 在 Suricata 相容規則字串下,根據您的來源和目的地以及要過濾流量的國家代碼輸入適當的字串。要使用地理 IP 過濾,請提供 geoip 關鍵字、過濾類型和您要過濾的國家的國家代碼。
- Suricata 支持過濾來源和目的地 IP。您可以單獨過濾這兩種類型,通過指定 dst 或 src。您可以通過指定 both 或 any 使用 AND 或 OR 邏輯一起過濾這兩種類型。
例如,以下示例 Suricata 規則字串會丟棄來自日本的流量:
請注意,Suricata 使用 MaxMind GeoIP 資料庫來確定請求的位置。MaxMind 報告其資料在國家層面的準確性非常高,儘管準確性會根據國家和 IP 類型等因素而有所不同。要了解有關 MaxMind 的更多資訊,請參閱 MaxMind IP 地理定位。
如果您認為任何地理 IP 資料不正確,您可以向 MaxMind 提交更正請求,請參閱 MaxMind 更正 GeoIP 資料。
記錄地理 IP 過濾
您可以配置網路防火牆的有狀態引擎的日誌記錄,以獲取有關數據包的詳細資訊以及對數據包採取的任何有狀態規則動作。引入地理 IP 過濾功能後,日誌記錄和監控機制沒有變化。但是,通過明確指定 msg 和 metadata 關鍵字,您可以在警報日誌中看到其他地理資訊,這有助於故障排除。如果這些關鍵字未在 Suricata 規則字串中指定,則日誌事件將不會顯示任何地理資訊。
Suricata 規則範例
在本節中,您將找到 Suricata 規則字串的範例,以允許、阻止、拒絕和警報來自或發往特定國家的流量。
範例 1:允許來自特定國家的入站流量
以下範例允許來自印度的入站流量。
注意:在此範例中,規則評估順序應設置為嚴格,以生成警報日誌。如果規則評估順序設置為動作,則儘管流量會通過,但不會生成警報日誌。
以下是範例 1 的警報和流量日誌。
警報日誌:
從來源到目的地的流量日誌:
從目的地到來源的流量日誌:
範例 2:阻止來自特定國家的入站流量
以下範例阻止來自日本的入站流量。
範例 3:阻止來自特定國家的入站 SSH 流量
以下範例阻止來自俄羅斯的入站 SSH 流量。
範例 4:拒絕發往特定國家的出站 TCP 流量:
以下範例拒絕發往伊朗的出站 TCP 流量。
範例 5:警報來自或發往特定國家的流量
以下範例警報來自委內瑞拉的流量。
結論
您可以使用 AWS 網路防火牆中的新地理 IP 過濾功能來增強您的安全姿態,通過控制基於地理位置的流量。在這篇文章中,您了解了在網路防火牆中實施地理 IP 過濾功能的關鍵概念、配置步驟和範例。通過使用此功能,企業可以保護其網路免受潛在有害流量的影響,並控制哪些地理位置可以與其基礎設施互動。隨著網路威脅的不斷演變,地理 IP 過濾功能作為加強網路安全的重要工具。
如果您對這篇文章有反饋,請在下方的評論區提交評論。如果您對這篇文章有疑問,請聯繫 AWS 支援。
Prasanjit Tiwari
Prasanjit 是一位位於美國維吉尼亞州的雲端支援工程師 II。他擁有馬里蘭大學的電信工程碩士學位。他是 WAF 和 Route 53 的專家,喜歡從事網路和周邊安全服務。他熱衷於使用創新解決方案來解決客戶挑戰。
Dhiren Patel
Dhiren 是一位位於美國維吉尼亞州的雲端支援工程師 II。他擁有紐約大學的電機與計算機工程碩士學位。作為 WAF 和 Route 53 的專家,他專注於 AWS 網路和安全服務。他熱衷於幫助客戶解決 AWS 問題,並通過 AWS 獲得最佳的雲端體驗。
新聞來源
本文由 AI 台灣 使用 AI 編撰,內容僅供參考,請自行進行事實查核。加入 AI TAIWAN Google News,隨時掌握最新 AI 資訊!
