技術專欄_運用AWS Network Firewall控制 Workspaces
AWS Network Firewall 是一項允許您為Amazon Virtual Private Cloud (Amazon VPC) 建立狀態防火牆的服務,篩選 VPC 周邊的網路流量,運用您設置規則,控制入站與出站流量,是一種可設定狀態、受管理的網路防火牆和入侵偵測與預防服務。
Amazon WorkSpaces 為使用者虛擬 Microsoft Windows、Linux 桌面,使用您的 Simple AD、AD Connector 或 AWS Managed Microsoft AD 目錄對用戶進行身份驗證,是一項完全託管的雲桌面計算服務。
本次技術架構目的在運用 Network Firewall控制WorkSpaces 瀏覽Internet,對 WorkSpaces行為進行Allowlist or Denylist流量進行管控,讓管理者可以控管訪問頁面與允許可連線IP,進行策略性規劃。
圖片來源: AWS網站
實驗架構
實驗目標
- Allow特定Domain : 只允許查看 https://www.digicentre.com.tw。
- Allow特定IP : 只允許與阻止IP白名單或黑名單。
配置步驟
請點選VPC Network Firewall【建立防火牆】。
- 建立防火牆部分,填寫名稱並增加描述。
- 選擇您的VPC 與需要保護Workspaces區域。
- 建立關聯新的火牆政策,填寫名稱,規則順序動作預設/嚴格,點選建立防火牆。
防火牆將端點可以保護您想要保護的可用區並且定義防火牆策略中保護行為,當流量通過您的VPC 傳入與傳出流量都會被防火牆策略控管。
- 建立防火牆當完成後,防火牆狀態會顯示就緒。
- 點選防火牆詳細資訊,紀錄端點ID位置。
- 點選關聯的防火牆政策,點選建立 具狀態規則群組。
您可以建立防火牆策略無狀態規則組和有狀態規則組,設定您的防火牆相關規則。
無狀態: 默認進出流量不匹配的任何無狀態規則,使用方式與VPC ACL類似。
有狀態: 特定網域進出口流量,指定來源IP與端口,使用Suricata規則皆為有狀態。
建立新增【具狀態規則群組】。
- 定義新規則名稱。
- 選擇Domain List
- 匹配部分,增加要允許的網站URL。
- 動作選擇允許
- 點選建立定新增至政策
- 建立完成後,返回防火牆策略,會顯示以下圖片。
建立新增【具狀態規則群組】。
- 定義新規則名稱。
- 選擇Standard stateful rule
- 通訊協定,IP。
- 自訂: 需要IP 與目的地
- 流量: 任何
- 動作: 通過
- 點選新增規則
- 建立完成後,返回防火牆策略,會顯示以下圖片。
- 請點選VPC -> 路由表
路由表 -> 修改配置以下相關路由表,請參考架構圖
- Protected 路由表
- Network-firewall 路由表
- Internet gateway 路由表
驗證與測試
登入Workspaces 輸入帳號與密碼登入到使用者介面
在使用者桌面內建Firefox,點選Firefox。
應用情境
- 測試是否您允許IP可連線與網頁是否只允許使用Digicentre網站
當我們測試www.digicentre.com.tw,可以正常訪問此網站。
- 連線測試其他測試網頁Google禁止。
參考文件
https://docs.aws.amazon.com/network-firewall/latest/developerguide/how-it-works.html
https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html
https://aws.amazon.com/tw/blogs/aws/aws-network-firewall-new-managed-firewall-service-in-vpc/
https://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/network-firewall.html