防禦策略與防火牆設定
壹、參考資料
參考: 公司上櫃資訊內控審計之準備 2010 iT 邦幫忙鐵人賽 IT上櫃心法
參考: [IT上櫃心法]-22.防火牆設定
參考: Stateful vs. Stateless Firewall
參考: 什麼是下一代防火牆 (NGFW)?
一、雲端
參考: 無限手套 AWS 版:掌控一切的 5 + 1 雲端必學主題
Amazon Cloud Service 30 days challenge
二、連線
參考: AWS VPC NACL
貳、實作步驟
參考: AWS — 學習筆記(1) Deploy ENV/EC2
參考:AWS — 學習筆記(2) NAT/Container Service
參考:AWS — 學習筆記(3) Deploy ELB
一、使用預設VPC、創建Subnet Group
目前: Security group + public subnet, 裡面有兩個EC2 (僅只有下圖的左半Security Group,沒有建立Private subnet)
參考:AWS — 學習筆記(2) NAT/Container Service
目前 Resource Map
二、建立NACL(Netwarks ACL)
VPC –> Netwark ACLs –> Create network ACL
三、設置Inbound
原本是denined all,要新增其他rules 來allow
All traffic
All TCP
Custom TCP+ port: 1024-49151(若寫0-65535則等於All TCP)
RDP –> 遠端桌面連線
SSH(Security Shell)
ICMP –> Ping, 網路探測, 錯誤報告
HTTP
HTTPS
Port知識補充
TCP 協議中的端口號範圍是從 0~65535。這個範圍中的端口號被分為三個部分:(若寫0-65535則等於All TCP)
知名端口(Well-known Ports):這些端口號範圍從 0 到 1023。知名端口通常是一些廣泛使用的服務所使用的,例如 HTTP 服務(端口 80)和 HTTPS 服務(端口 443)。
註冊端口(Registered Ports):這些端口號範圍從 1024 到 49151。註冊端口通常用於註冊了的應用程序,但不像知名端口那樣廣泛使用。
動態或私有端口(Dynamic or Private Ports):這些端口號範圍從 49152 到 65535。這些端口通常由客戶端應用程序動態分配,用於與伺服器端進行通信。
四、設置Outbound rules
All ICMP
All TCP
五、Routing Tables
將子網路加入route tables
VPC –> Route Table –> Edit subnet associations –> Save associations
Routes
igw(Internet Gateway)
local
Subnet associations
- Explict subnet associations –> 可以看到剛剛添加的subnet
注意: 但因為目前只有一個public subnet,所以Resource Map再新增前後看不出差異
參、AWS NACL 相關問題
inbound / outbound rules 區分
- inbound是從我們的電腦連線到EC2,所以是針對主機(ipinfo: 公司位址)
如何只擋掉特定IP(By source / destination),是本機端的IP ex: 172.18.2.214/23
- 直接將resource IP 設為欲封鎖IP
cloud firewall的stateless, stateful差別
- 進階版(Cloud為地端的延伸)
Port號,為什麼要把HTTP,HTTPS,SSH,ICMP特別拉出來(只有開他們無法連線,但開了All TCP or custom TCP又等於都開啟)
針對特定功能的IP的Port做處理
Ex: 家裡有很多扇門,欲設每一扇都鎖住,開白名單等於把限制訪客(特定IP)只能透過某一扇門(port)來通過
privite subnet的routing table為什麼需要3個(而不是兩個)
- 系統本來就有的routing tables(因為雲端本來就是在同個VPC下,代表本來就在同個routing table連結)
NAT主要是把private subnet轉譯到public?
NGFW 跟 雲端防火牆的差異 下一代防火牆 (NGFW) 與防火牆即服務 (FWaaS)
筆記
Security Group是白名單、NACL是黑名單
雲端已經幫我們預設Fire wall的功能,但是防火牆的概念要由地端(沒有幫我們做設定)延伸比較好理解!!