AWS 文档中描述,站点到站点 VPN 涉及在 AWS 中的虚拟私有网关和本地客户网关之间创建两个隧道。(参见https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
这两条隧道意味着在 AWS 端为每个隧道分配了两个公共 IP 地址。我的问题是:我如何在 AWS 端设置这个 IP 地址的防火墙,以便它们只允许来自本地 IP 范围的流量?
似乎网络 ACL 和安全组对此都没有用,因为两者都在 VPN 内部运行,此时我们已经通过了 VPN 网关。
那么,我如何才能对隧道公共 IP 实施安全保护?他们不是对攻击者开放以尝试猜测凭据并建立自己的隧道吗?(我知道这将包括蛮力的秘密,但仍然听起来似乎有道理)。
这是必要的吗?或者是否有其他安全层已经解决了这个问题而我没有看到它?