AWS GWLB对访问NLB流量做安全检测

最新推荐文章于 2024-08-16 21:53:13 发布
原创 最新推荐文章于 2024-08-16 21:53:13 发布 · 587 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#aws #网络 #云计算

本文探讨如何利用AWS全局应用负载均衡器(GWLB)对访问网络负载均衡器(NLB)的流量实施安全检测,保障云端服务的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

AWS GWLB对访问NLB流量做安全检测

B站视频:​​https://www.bilibili.com/video/BV1wt4y1K7kz/?spm_id_from=333.999.0.0​​

一、架构图

这个设计的核心在于路由表的设计,可以根据下面的架构图示,理解路由流量走向。(我发现公众号对图片压缩特别厉害,暂时没有找到上传原图的办法。如果你和我一样有强迫症,可以找我要高清图片)

实验环境一共有两个VPC,左边的是业务VPC,里面有两个APP模拟HTTP的业务,EC2放在私有子网里面,在不同的AZ。

有一个面向互联网的Network Load Balancer,向公网发布了这个HTTP的服务,这样互联网上的用户,就可以通过NLB访问后面的业务。我们要做的是把这个流量,引导到防火墙上去,做安全检测。这里使用Linux的iptables来模拟防火墙。

另外,APP可以通过NAT GW上网,这个APP主动访问互联网的流量,也需要送到防火墙上去,做安全检测。所以,APP有两种流量都需要送到防火墙上去做安全检测,下面看一下APP的两种流量路径。

一、来自于互联网对NLB访问的流量路径

  1. 首先,互联网上的用户,对NLB的公有DNS发起请求,这个DNS请求,会解析到NLB的两个公网IP地址,然后流量通过ISP路由,到达AWS的IGW上。
  2. 因为IGW关联了一个Ingress Route Table,发现去往NLB所在子网的路由指向GWLB endpoint1,和GWLB endpoint2,这里假设现在解析的主IP是Endpoint2所在的网段,这样路由会送到GWLB Endpoint2。
  3. Endpoint2收到流量之后,会通过Private Link,把流量发送到GWLB上。
  4. GWLB会通过GENEVE封装报文,把流量发送到防火墙。
  5. 防火墙做完安全检测之后,又会把流量送回给GWLB,然后通过Private Link,送到GWLB Endpoint2。
  6. 注意,到达GWLB Endpoint2之后,查询的是GWLB Endpoint2关联的Public Route Table,因为目的地址是NLB subnet2网段,所以匹配到local路由,将流量送给NLB。
  7. 流量到NLB之后,因为侦听组关联了APP实例,所以NLB将流量发送到实例的主接口,这里查询的是NLB所在子网的local路由。
  8. 最后,流量抵达了APP。以上就是来自互联网,对NLB发起的请求,流量经过防火墙之后,再抵达APP的过程。

继续看一下回包流程。

  1. 注意,对于来自NLB的流量,EC2并不查询所在子网的路由表,而是直接返回给NLB(这个点很有意思,有机会单独再聊NLB的行为)。
  2. NLB收到报文之后,查询所在子网路由表,因为回包是互联网上的地址,所以会匹配到默认路由,将报文发送到GWLB Endpoint2。
  3. 接下来又是一样的流程,流量会经过Private Link到防火墙绕一圈再回来。
  4. 流量回到GWLB Endpoint2上之后,会匹配到默认路由,将流量通过IGW发送到互联网上。

以上就是完整的从互联网对NLB发起请求和回包的流程。

二、APP1主动访问互联网的流量路径

  1. APP1对互联网地址发起请求,APP1查询子网关联的路由表,匹配到默认路由,流量送到NAT GW1。
  2. NAT GW1收到流量后,查询路由表,默认路由把流量送给GWLB Endpoint1,发送时会对源IP地址做NAT转换。
  3. 流量到GWLB Endpoint1之后,通过Private Link把流量送到防火墙检测,然后再发回来。
  4. GWLB Endpoint1收到流量之后,默认路由将流量送往IGW到达互联网,源地址是NAT GW1的公网IP地址。

继续看回包流程。

  1. 互联网上的主机收到报文以后,源地址是NAT GW1的公网IP地址,报文通过ISP路由,流量到达AWS的IGW。
  2. 到达IGW之后,会查询Ingress Route Table,去往NAT GW1网段的路由送到GWLB Endpoint1。
  3. 流量到GWLB Endpoint1之后,通过Private Link把流量送到防火墙检测,然后再发回来。
  4. GWLB Endpoint1收到流量之后,匹配到local路由,将流量发送到NAT GW1。
  5. NAT GW1收到报文之后,查询NAT转换表项,目的地址匹配到local路由表,将流量发送到APP1。

二、创建实验环境

通过CloudFormation创建实验环境,堆栈需要7分钟左右的时间创建完成。

上传堆栈文件。

编辑堆栈名称,修改实例密钥。

允许创建IAM资源。


Parameters:
  EC2InstanceAmiId:
    Type: AWS::SSM::Parameter::Value<AWS::EC2::Image::Id>
    Default: '/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2'
  Environment:
    Type: String
    AllowedValues:
      - dev
      - prod
    Default: dev
  MyKeyPair:
    Description: Amazon EC2 Key Pair
    Type: AWS::EC2::KeyPair::KeyName
    Default: Global_Tokyo_KeyPair
  WebServerPort:
    Description: Apache Http Server Port
    Type: String
    Default: 8443
    AllowedValues:
      - 8443
      - 8888
      - 8088

Resources:

  BastionSsmRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - ec2.amazonaws.com
            Action:
              - 'sts:AssumeRole'
      Path: /

  BastionSsmPolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: PrivatelianceInstanceAccess
      PolicyDocument:
        Statement:
          - Effect: Allow
            Action:
              - ssm:DescribeAssociation
              - ssm:GetDeployablePatchSnapshotForInstance
              - ssm:GetDocument
              - ssm:DescribeDocument
              - ssm:GetManifest
              - ssm:GetParameter
              - ssm:GetParameters
              - ssm:ListAssociations
              - ssm:ListInstanceAssociations
              - ssm:PutInventory
              - ssm:PutComplianceItems
              - ssm:PutConfigurePackageResult
              - ssm:UpdateAssociationStatus
              - ssm:UpdateInstanceAssociationStatus
              - ssm:UpdateInstanceInformation
            Resource: "*"
          - Effect: Allow
            Action:
              - ssmmessages:CreateControlChannel
              - ssmmessages:CreateDataChannel
              - ssmmessages:OpenControlChannel
              - ssmmessages:OpenDataChannel
            Resource: "*"
          - Effect: Allow
            Action:
              - ec2messages:AcknowledgeMessage
              - ec2messages:DeleteMessage
              - ec2messages:FailMessage
              - ec2messages:GetEndpoint
              - ec2messages:GetMessages
              - ec2messages:SendReply
            Resource: "*"
      Roles:
        - !Ref BastionSsmRole

  BastionSsmProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      Path: /
      Roles:
        - !Ref BastionSsmRole

#=========================================SecVpc========================================#
# 创建SecVpc
  SecVpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.100.10.0/16
      EnableDnsSupport: 'true'
      EnableDnsHostnames: 'true'
      Tags:
       - Key: Name
         Value: !Sub ${AWS::StackName}-SecVpc

# 创建IGW并且关联到VPC
  SecVpcIGW:
    Type: "AWS::EC2::InternetGateway"
    Properties:
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpcIGW

  SecVpcAttachIgw:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref SecVpc
      InternetGatewayId: !Ref SecVpcIGW

#---------------------------SecVpc创建6个子网-------------------------------------#

# SecVpc AZ1内创建公有子网
  SecVpcAz1PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.10.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Public-Subnet

# SecVpc AZ2内创建公有子网
  SecVpcAz2PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.20.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ2-Public-Subnet

# SecVpc AZ1内创建私有子网
  SecVpcAz1PrivateSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.30.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Private-Subnet

# SecVpc AZ2内创建私有子网
  SecVpcAz2PrivateSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.40.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ2-Private-Subnet


# SecVpc AZ1内创建TGW子网
  SecVpcAz1TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.50.0/24
      AvailabilityZone:
        Fn::Select:
          - 0
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ1-TGW-Subnet

# SecVpc AZ2内创建TGW子网
  SecVpcAz2TgwSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref SecVpc
      CidrBlock: 10.100.60.0/24
      AvailabilityZone:
        Fn::Select:
          - 1
          - Fn::GetAZs: ""
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-SecVpc-AZ2-TGW-Subnet

#---------------------------SecVpc创建路由表-------------------------------------#

# 公有子网路由表及关联
  SecVpcAz1PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        - Key: Name
          Value: !Sub ${AWS::StackName}-SecVpc-AZ1-Public-RouteTable

  SecVpcAz1PublicRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      RouteTableId: !Ref SecVpcAz1PublicRouteTable
      SubnetId: !Ref SecVpcAz1PublicSubnet

  SecVpcAz2PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref SecVpc
      Tags:
        -
最低0.47元/天 解锁文章

200万优质内容无限畅学
AWS GWLB集成Palo Alto防火墙
liuqianglong_liu的博客
10-14 1048
AWS Gateway Load Blancer集成Palo Alto防火墙对流量集中的安全检测
AWS GWLB访问ALB流量安全检测
liuqianglong_liu的博客
11-15 666
AWS Gateway Load Balancer对访问Application Load Balancer流量安全检测,并关联AWS WAF策略,使用Linux iptables模拟防火墙,全自动化搭建实验环境。
基于AWS GWLB实现安全检测的线性扩展
cyt_317的博客
08-27 1574
无论是哪种应用场景,通过修改VPC路由表路由条目,调整数据转发路径,使需要安全检查的子网流量下一跳指向GWLB,从而使流量穿过安全网关进行安全检查或安全控制。AWS 网关负载均衡(GWLB)为AWS提供的托管型4层负载均衡服务,AWS网关负载均衡将互联网IGW流量或虚拟私有网关VGW流量负载分担到多个安全网关,扩展互联网出口和VPC互连网络安全处理性能,并且保障FortiGate安全网关的容错能力和扩展性。在防火墙上去互联网和GWLB都存在默认网关,启用VDOM把管理流量GWLB流量分开。......
利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙
liuqianglong_liu的博客
11-01 463
利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙
AWS GWLB集成FortiGate防火墙
liuqianglong_liu的博客
10-31 857
AWS GWLB集成FortiGate防火墙
AWS系列(一) AWS VPC网络架构设计(一)
最新发布
wangzizhizu的博客
08-16 1795
公司业务出海,AWS是绕不开的,关于AWS云上的各种解决方案,生产环境下最真实的实践,关注我,我会一一分享
自动化部署AWS API Gateway,Lambda,防火墙与WAF实现动态威胁防护与响应
cyt_317的博客
03-01 1004
当上节Terraform创建时,terraform.tfvar文件中的变量enableSimpleWebSrv = true 时,即表示部署一组简单的WEB应用实例,其中位于可用区1的subnet-app的IP为192.168.251.72 (请根据您Terraform部署后的实例实际IP填写),当从浏览器发起访问,如。当您完成上步,即Terraform工程与您AWS环境的适配后,您就可以执行下面的命令,测试Terraform是否满足部署条件。如果false,请参照文件中的指导,在DryRun时传入ID。
亚马逊云科技2023年1-2月服务上新
亚马逊云科技专栏
03-15 482
从计算、存储和数据库等基础设施技术,到机器学习、人工智能、数据湖和分析以及物联网等新兴技术,亚马逊云科技为客户提供多样的服务及功能。借助亚马逊云科技,您可以在种类繁多的前沿技术中选择适合您工作负载的服务和功能来进行构建及创新。在过去的两个月里,由西云数据运营的亚马逊云科技中国(宁夏)区域落地了75个,由光环新网运营的亚马逊云科技中国(北京)区域落地了75个新功能或新服务。我们将基于客户需求,与光环...
AWS curl获取本机信息
山炮运维
02-25 898
一直爱用ifconfig显示本机网卡信息,在写shell脚本也用ifconfig 会出现linux版本不同抓不到本机IP的问题,发布系统对接机子发行版多了这个shell会很难写。 好在AWS还是很不错的 提供了一个ec2-metadata 命令可以查看本机信息,最后用ec2-metadata去写的shell发现还有linux没有ec2-metadata命令。 AWS提供了http://169.254.169.254/latest/meta-data/ url可以查看本机信息 这个就很好用...
如何得到AWS EC2 instance的外网ip
Swallow_he的博客
04-22 1025
在EC2实例发送请求:http://169.254.169.254/latest/meta-data/public-ipv4
使用AWS的LB搭建负载均衡
weixin_34241036的博客
02-06 792
由于AWS的EC2使用Public DNS,使用LVS配置负载均衡网卡不好配置,所以使用AWS的LB搭建负载均衡。1.首先登录AWS Console,然后在页面左上角点击Services会看到下拉菜单,选择EC2,因为ELB是内置于EC2服务里的。2.然后我们开始创建一个新的ELB,取个好记的名字以标记该ELB,然后选择该ELB所对应的VPC(虚拟云端局域网),这是一个面向...
AWS LB创建及检测
二苟
05-11 720
一、创建负载均衡器 创建负载均衡器(选择http/https类型): 模式/侦听器: 选择面向internet模式,侦听器选择https协议和10800(只是示例)端口 证书: 上传认证文件或者使用已上传的认证 配置安全组: 安全组入站规则:对所有ip开放10800端口 Tips:为保证连接畅通,需要在服务器所在的负载均衡器的安全组添加一条规则:负载均衡器安全组 -->服务器安全组 (如图), 或者将负载均衡器和...
AWS 学习日志 - EC2 & VPC
weixin_43324309的博客
03-14 1252
VPC(Virtual Private Cloud) CIDR(Careless Inter-Domain Routing): a method for allocating IP addresses CIDR <=> IPv4 transfer link They help to define an IP address range: WW.XX.YY.ZZ/32 => one IP 0.0.0.0/0 => all IPs 192.168.0.0/26 => 192.1
aws vpc详解
u011619480的专栏
09-13 1623
aws
AWS EC2本机上获取本机的一些信息(包括公网IP等)
青草 绿叶 百合
02-14 3050
获取公网IP: curl http://instance-data/latest/meta-data/public-ipv4 其他信息内容: curl http://169.254.169.254/latest/meta-data/
访问openstack 的169.254.169.254 得到什么
aalup的博客
08-15 2527
curl http://169.254.169.254 curl http://169.254.169.254 1.0 2007-01-19 2007-03-01 2007-08-29 2007-10-10 2007-12-15 2008-02-01 2008-09-01 2009-04-04 latest[root@block1 ~]# curl http://169.254.169.254/1.0 meta-data/ user-data[root@block1 ~]# cu.
openstack metadata
liukuan73的专栏
05-24 7147
openstack中的metadata server 虚拟机启动时候需要注入hostname、password、public-key、network-info之类的信息,以便虚拟机能够被租户管理。对于这些信息的注入openstack提供了两种方式, guestfs-inject以及metadata-server。 guestfs-inject的使用很受限制尤其是并不是所有镜像都能
如何通过terminal得到AWS EC2 instance的ip
he wolf
07-09 1804
可得到private ip,也是本地的ip,其实通过ifconfig也能得到: GET http://169.254.169.254/latest/meta-data/local-ipv4 公共ip,也就是在aws的console里面可以看到的ip,也是想要ssh到该instance所用的ip: GET http://169.254.169.254/latest/meta-data/pu
AWS安全实践:威胁检测与响应实操教程
Amazon GuardDuty是AWS提供的威胁检测服务,它可以持续监控云环境,检测潜在的恶意活动和未经授权的行为,提供安全事件的实时响应。实验参与者将学习如何启动和配置GuardDuty,这是保护AWS环境的第一步。 Amazon ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值