jot*_*cas 1 security vpn firewall amazon-web-services
AWS 文档中描述,站点到站点 VPN 涉及在 AWS 中的虚拟私有网关和本地客户网关之间创建两个隧道。(参见https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
这两条隧道意味着在 AWS 端为每个隧道分配了两个公共 IP 地址。我的问题是:我如何在 AWS 端设置这个 IP 地址的防火墙,以便它们只允许来自本地 IP 范围的流量?
似乎网络 ACL 和安全组对此都没有用,因为两者都在 VPN 内部运行,此时我们已经通过了 VPN 网关。
那么,我如何才能对隧道公共 IP 实施安全保护?他们不是对攻击者开放以尝试猜测凭据并建立自己的隧道吗?(我知道这将包括蛮力的秘密,但仍然听起来似乎有道理)。
这是必要的吗?或者是否有其他安全层已经解决了这个问题而我没有看到它?
该设备侦听的隧道端点的公网IP是从专门监听业务的客户网关分配的IP地址,你的VPN连接的密钥。
客户网关设备的外部接口的 Internet 可路由 IP 地址 -- 该值必须是静态的。
https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DetermineNetworkInfo
如果您创建的 VPN 连接使用与您定义的客户网关设备关联的 IP 地址以外的任何其他 IP 地址,则它不会使用您的凭据与网关设备协商隧道。
AWS 端的这两个相同的外部 IP 地址也可能为其他 VPN 连接提供服务,以有效利用 IPv4 地址空间和其他类型的资源,但我提到这方面只是为了完整性——它没有除非您使用具有相同 IP 地址的相同客户网关来连接到该区域中的其他 VPC。每个 VPN 连接(以及对您的 VPC 的访问)都被限制在每一端的一组特定对等地址,包括您的客户网关的静态 IP 和一组特定的预共享密钥。
| 归档时间: |
|
| 查看次数: |
84 次 |
| 最近记录: |