Tham gia Đăng nhập
Điểm:0
explogx avatar Server

Đính kèm NSG vào giao diện của cổng NAT

lá cờ cn
explogx

Làm cách nào tôi có thể đính kèm NSG có trạng thái vào giao diện mạng của cổng NAT trong AWS? Nếu tôi cố gắng thêm nó theo cách thủ công, tôi sẽ gặp lỗi sau: "Bạn không có quyền truy cập vào tài nguyên được chỉ định." trong cổng thông tin.

Theo mặc định, giao diện của cổng NAT không có NSG được đính kèm, vì vậy Nhật ký luồng VPC hiển thị lưu lượng truy cập internet vào là được chấp nhận. Tôi biết lưu lượng truy cập thực tế không được cổng NAT chấp nhận và bị loại bỏ, nhưng điều này vẫn rất khó chịu vì nó làm lộn xộn các bản ghi.

Ở đây, IP riêng của cổng NAT là 10.0.1.226 và bạn có thể thấy nó đang được thăm dò từ internet công cộng:

phiên bản account-id interface-id srcaddr dstaddr srcport dstport giao thức gói byte bắt đầu kết thúc nhật ký hành động
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.159 10.0.1.226 54995 20121 6 1 44 1631843704 1631843705 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 192.241.207.249 10.0.1.226 37490 8098 6 1 40 1631843722 1631843724 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.59 10.0.1.226 52915 5017 6 1 40 1631843709 1631843741 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 45.135.232.119 10.0.1.226 43453 8737 6 1 40 1631843761 1631843762 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.149 10.0.1.226 4078 9010 6 1 44 1631843780 1631843782 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 89.248.165.204 10.0.1.226 53823 5354 6 1 40 1631843789 1631843799 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 192.241.215.86 10.0.1.226 43709 137 17 1 78 1631843789 1631843799 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.146 10.0.1.226 14176 18045 6 1 44 1631843739 1631843790 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 162.142.125.150 10.0.1.226 48059 21381 6 1 44 1631843739 1631843790 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 185.191.34.207 10.0.1.226 59477 36 6 1 40 1631843739 1631843790 CHẤP NHẬN
2 770604943877 eni-0d9c6092f69e85b93 91.132.58.183 10.0.1.226 5106 5162 17 1 443 1631843739 1631843790 CHẤP NHẬN

Nếu tôi thêm ACL mạng để từ chối lưu lượng truy cập vào từ internet, điều đó cũng sẽ ngăn truy cập internet ra ngoài do VPC khởi tạo. Vì ACL không có trạng thái nên lưu lượng trả lời gửi đến từ internet sẽ bị chặn.

49
0 + 0
Điểm:0
Tim avatar Server
lá cờ gp
Tim

Tôi thấy câu hỏi của bạn hơi khó hiểu. Khi bạn nói "NSG", tôi cho rằng bạn muốn nói đến "Nhóm bảo mật". Azure có "Nhóm bảo mật mạng", AWS là Nhóm bảo mật. Ngoài ra, bạn chưa nói những gì bạn đang cố gắng đạt được, bạn đã nói những gì không hiệu quả, điều này gây khó khăn cho việc giúp đỡ bạn. Tôi sẽ cung cấp cho bạn một số suy nghĩ chung, nhưng nếu những điều này không đúng, vui lòng chỉnh sửa câu hỏi của bạn để nói những gì bạn đang cố gắng đạt được và sửa các từ viết tắt.

Cổng NAT không có nhóm bảo mật. Nhóm bảo mật là tường lửa xung quanh ENI, chẳng hạn như trên phiên bản EC2. Bạn không trả tiền cho lưu lượng truy cập trong nước, vì vậy bạn không thực sự quan tâm đến những gì bị cổng NAT từ chối ngoài việc điều tra bảo mật về các sự cố/sự cố cụ thể. Không có gì xuất hiện trong cổng NAT, đó là mục đích của chúng.

Có vẻ như vấn đề chính của bạn là lưu lượng truy cập bị từ chối trong nhật ký luồng VPC, đối với lưu lượng truy cập mà cổng NAT từ chối từ internet.Lời khuyên chính của tôi là bỏ qua nó, vì có thể một ngày nào đó nó sẽ hữu ích cho mục đích pháp y trong môi trường bảo mật cao hoặc tắt nhật ký luồng VPC nếu bạn không cần chúng. Tôi sử dụng nhật ký luồng VPC để chẩn đoán và chỉ để chúng ở thời hạn nhật ký khi yêu cầu tuân thủ PCI / CIS / tương tự Sẽ luôn có nhiều lưu lượng từ chối trong các nhật ký đó. Tôi đã từng dành khá nhiều thời gian để cố gắng theo dõi các lần từ chối trong một mạng con nội bộ không có truy cập internet, nhưng tôi đã hết thời gian trước khi đến nơi. Tôi chỉ để nó đi.

Bạn có thể thay đổi phạm vi của Nhật ký luồng VPC. Thay vì tạo nhật ký luồng cho toàn bộ VPC, bạn chỉ tạo nhật ký luồng cho chỉ các mạng con riêng tư của mình và đảm bảo rằng cổng NAT của bạn nằm trong mạng con công cộng. Bằng cách đó, đừng ghi lại lưu lượng từ chối từ internet.

Bạn cũng có thể định cấu hình nhật ký luồng để ghi nhật ký CHẤP NHẬN, TỪ CHỐI hoặc CẢ HAI loại lưu lượng.

Để tóm tắt và giải quyết nhận xét của bạn:

  1. Nhật ký luồng VPC là một công cụ được sử dụng để chẩn đoán mạng (và hiếm khi được bật) hoặc để ghi nhật ký tuân thủ (luôn bật nhưng có chủ ý trong phạm vi). Không có nhiều người bật chúng lên.
  2. Tôi chỉ bật Nhật ký luồng VPC khi có lý do chính đáng. Khi thực hiện, tôi xác định chúng theo giao diện mạng và loại lưu lượng tôi cần (chấp nhận/từ chối/cả hai).
  3. Tôi chỉ xem nhật ký lưu lượng VPC khi thực hiện chẩn đoán mạng. Khi tôi xem chúng, đó là một giao diện/sự kiện cụ thể nên tôi bỏ qua mọi thứ tôi không cần xem.
  4. Tôi đã đặt Nhóm nhật ký Cloudwatch thành khoảng thời gian lưu giữ thích hợp.
0 + 0
explogx avatar
lá cờ cn
explogx
Vâng, ý tôi là SG, xin lỗi về sự nhầm lẫn. Tôi đang sử dụng cả Azure và AWS và có xu hướng quên cái nào dành cho nhà cung cấp nào... Vì vậy, theo câu trả lời của bạn, bạn chỉ cần bỏ qua nó nhưng bạn không thể từ chối nó một cách hiệu quả?
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tôi đã cập nhật câu trả lời của mình. Tôi thực sự không chắc làm thế nào để giúp bạn vì tôi không biết bạn đang cố gắng đạt được điều gì. Tại sao bạn thậm chí còn bật nhật ký luồng VPC? Chúng thường chỉ được sử dụng trong các tình huống cụ thể.
0
Hồi đáp
explogx avatar
lá cờ cn
explogx
Cảm ơn câu trả lời chi tiết của bạn. Cloudguard (từ Checkpoint) xử lý nhật ký luồng VPC, do đó, việc thăm dò cổng NAT có xu hướng làm lộn xộn bảng điều khiển. Để bảo mật, tôi nên thu thập loại nhật ký lưu lượng nào trên AWS. Đặc biệt là cấp thấp, ví dụ: nhật ký IP hoặc TCP/UDP?
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Nó thực sự phụ thuộc vào những gì bạn đang làm, quy mô và các yêu cầu tuân thủ. Bạn có đang chạy nền tảng tuân thủ PCI/HIPPA/CIS không? Bạn có đang chạy các máy chủ 1000X để thực hiện khối lượng công việc của công ty không? Nó có phải là một trang web sở thích? Bạn có được tích hợp với một trung tâm dữ liệu tại chỗ không? Đề nghị bạn cập nhật câu hỏi của mình để làm rõ lý do tại sao bạn đang cố gắng đạt được và tại sao, hãy bình luận bên dưới, sau đó tôi sẽ thay đổi câu trả lời của mình. Tuy nhiên, tôi sẽ nói với bạn điều này, đây cũng là danh sách các mối quan tâm của tôi đối với mạng doanh nghiệp.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.