我正在尝试限制我的VPC的出站访问权限。
我想限制对某个网址的出站访问权限,但安全组只允许您设置IP而不设置网址。
有没有办法限制网址而不是IP的出站访问?
答案 0 :(得分:1)
防火墙无法解析URL。这将需要一个知道HTTP协议内容的更高阶防火墙。有关OSI模型的更多信息:http://en.wikipedia.org/wiki/OSI_model
与VPC中的网络ACL最接近的是解析要阻止其IP地址的域。但是,这将阻止整个站点以及也可能托管在IP地址上的任何其他域。此外,许多网站可能会解析为超过1个IP地址。
您可以直接在实例上安装某种代理/过滤器,并从那里处理IP URL过滤。
答案 1 :(得分:0)
最简单的方法是实现 Aviatrix FQDN 出口过滤器。它只是通过集中的用户界面将每个 VPC 中的 URL 列入白名单/黑名单。
下一代防火墙 (NGFW) 实现,仅仅实现 URL / FQDN 过滤是一种矫枉过正,尤其是。从成本的角度来看,代理实现有其复杂性,并且不提供集中控制,每个 VPC 都必须单独管理。
最简单的方法是获得像 SDxWORx 这样的 Aviatrix 发布合作伙伴,并以现收现付的折扣价格启用它。
https://aws.amazon.com/marketplace/pp/prodview-laruhupdkcpuy/