技術專欄_運用AWS Network Firewall控制 Workspaces

2023/08/30

AWS Network Firewall 是一項允許您為Amazon Virtual Private Cloud (Amazon VPC) 建立狀態防火牆的服務,篩選 VPC 周邊的網路流量,運用您設置規則,控制入站與出站流量,是一種可設定狀態、受管理的網路防火牆和入侵偵測與預防服務。

Amazon WorkSpaces 為使用者虛擬 Microsoft Windows、Linux 桌面,使用您的 Simple AD、AD Connector 或 AWS Managed Microsoft AD 目錄對用戶進行身份驗證,是一項完全託管的雲桌面計算服務。

本次技術架構目的在運用 Network Firewall控制WorkSpaces 瀏覽Internet,對 WorkSpaces行為進行Allowlist or Denylist流量進行管控,讓管理者可以控管訪問頁面與允許可連線IP,進行策略性規劃。


AWS Network Firewall

圖片來源: AWS網站


實驗架構

實驗架構

實驗目標

- Allow特定Domain : 只允許查看 https://www.digicentre.com.tw。

- Allow特定IP : 只允許與阻止IP白名單或黑名單。

配置步驟

請點選VPC Network Firewall【建立防火牆】。

建立防火牆1

建立防火牆2

建立防火牆3

建立防火牆4

- 建立防火牆部分,填寫名稱並增加描述。

- 選擇您的VPC 與需要保護Workspaces區域。

- 建立關聯新的火牆政策,填寫名稱,規則順序動作預設/嚴格,點選建立防火牆。

防火牆將端點可以保護您想要保護的可用區並且定義防火牆策略中保護行為,當流量通過您的VPC 傳入與傳出流量都會被防火牆策略控管。

策略控管1

策略控管2

- 建立防火牆當完成後,防火牆狀態會顯示就緒。

- 點選防火牆詳細資訊,紀錄端點ID位置。

- 點選關聯的防火牆政策,點選建立 具狀態規則群組。

     您可以建立防火牆策略無狀態規則組和有狀態規則組,設定您的防火牆相關規則。

     無狀態: 默認進出流量不匹配的任何無狀態規則,使用方式與VPC ACL類似。

     有狀態: 特定網域進出口流量,指定來源IP與端口,使用Suricata規則皆為有狀態。



建立新增【具狀態規則群組】。

- 定義新規則名稱。

- 選擇Domain List

- 匹配部分,增加要允許的網站URL。

- 動作選擇允許

- 點選建立定新增至政策





具狀態規則群組1

具狀態規則群組2

- 建立完成後,返回防火牆策略,會顯示以下圖片。

具狀態規則群組建立完成


建立新增【具狀態規則群組】。

- 定義新規則名稱。

- 選擇Standard stateful rule

- 通訊協定,IP。

- 自訂: 需要IP 與目的地

- 流量: 任何

- 動作: 通過

- 點選新增規則


Standard stateful rule1

Standard stateful rule2

- 建立完成後,返回防火牆策略,會顯示以下圖片。

具狀態規則群組建立Standard stateful rule完成

具狀態規則群組建立Standard stateful rule完成2

- 請點選VPC -> 路由表

VPC路由表

路由表 -> 修改配置以下相關路由表,請參考架構圖

- Protected 路由表

Protected 路由表

- Network-firewall 路由表

Network-firewall路由表

- Internet gateway 路由表

Internet gateway 路由表


Internet gateway 路由表2









驗證與測試

登入Workspaces 輸入帳號與密碼登入到使用者介面

使用者介面

桌面內建Firefox

在使用者桌面內建Firefox,點選Firefox。






應用情境

- 測試是否您允許IP可連線與網頁是否只允許使用Digicentre網站

當我們測試www.digicentre.com.tw,可以正常訪問此網站。

只允許使用Digicentre網站桌面內建Firefox


- 連線測試其他測試網頁Google禁止。

其他測試網頁遭Google禁止


參考文件

https://docs.aws.amazon.com/network-firewall/latest/developerguide/how-it-works.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html 

https://aws.amazon.com/tw/blogs/aws/aws-network-firewall-new-managed-firewall-service-in-vpc/

https://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/network-firewall.html 

https://docs.aws.amazon.com/es_es/network-firewall/latest/developerguide/stateful-rule-groups-ips.html


其他訊息