我有 Windows Server 的EC2实例,我仅将其与RDP一起使用。我可以以某种方式阻止从浏览器到特定域的出站流量 (例如abc.example.com)或URL吗?我宁愿在AWS仪表板中执行此操作,以使RDP用户无权将此域/ URL列入白名单。
我该如何实现?谢谢!
答案 0 :(得分:1)
您可以配置Access Control Lists(ACL)和Security Groups来过滤出站流量。但是,这两个工具都只允许基于IP地址而不是域进行过滤。
如果您确信IP地址不会更改,则可以配置这些服务。如果您对维护黑名单不感兴趣,则可能需要检查一些操作系统级别的限制。
答案 1 :(得分:1)
没有针对此的本机AWS解决方案,您当然只能允许特定的IP地址。问题在于域可能会更改,当您查看Cloud时,您会发现许多服务(例如负载平衡器和CDN)将更改其IP地址。
理想的解决方案是您将部署一个软件(在EC2上运行),该软件能够根据域名过滤出站流量。 AWS Marketplace上有解决方案,也有使用哑代理进行过滤的方法。
网络设置将涉及您创建许多包含EC2实例的子网。这些将具有将所有流量(0.0.0.0/0)转发到NAT的路由表。
然后,对于需要过滤其出站流量的所有应用程序,他们将更新其路由表,以将所有流量(0.0.0.0/0)路由到其中一个过滤主机的ENI(最好在同一可用区中)。< / p>
答案 2 :(得分:0)
最简单的方法是实现 Aviatrix FQDN 出口过滤器。它只是通过集中的用户界面将每个 VPC 中的 URL 列入白名单/黑名单。
下一代防火墙 (NGFW) 实现,仅仅实现 URL / FQDN 过滤是一种矫枉过正,尤其是。从成本的角度来看,代理实现有其复杂性,并且不提供集中控制,每个 VPC 都必须单独管理。
最简单的方法是获得像 SDxWORx 这样的 Aviatrix 发布合作伙伴,并以现收现付的折扣价格启用它。
https://aws.amazon.com/marketplace/pp/prodview-laruhupdkcpuy/