Maksymalnie do listy ACL sieci VPC można zastosować 40 reguł.
Mam listę ponad 50 adresów IP, które muszę jawnie zablokować dostęp w naszych systemach, za pośrednictwem dowolnego portu i dowolnego protokołu. Jest to idealny cel dla listy ACL, ale limit utrudnia mi wykonanie tego zadania.
Oczywiście mogę to zrobić w IPTables na każdym hoście, ale chcę zablokować cały ruch do wszystkich komponentów VPC (na przykład do ELB). Ponadto o wiele bardziej idealne jest zarządzanie tymi regułami w jednym miejscu, a nie na każdym hoście.
Mam nadzieję, że jest jakiś sposób, którego nie rozumiem, robiąc to na poziomie systemu / platformy. Grupy zabezpieczeń są wyraźnie dozwolone, bez akcji odmowy, więc nie zrobią tego.
Odpowiedzi:
Oto pomysł na lewe pole .. możesz „zerować trasę” 50 zablokowanych adresów IP, dodając „uszkodzoną” trasę do tabeli tras VPC dla każdego adresu IP.
Nie zapobiegnie to ruchowi z adresów IP uderzającemu w twoją infrastrukturę (tylko NACL i SG to zapobiegną), ale zapobiegnie ruchowi powrotnemu z każdego „powrotu do domu”.
źródło
Nie ma sposobu na zwiększenie limitu NACL, a duża liczba reguł NACL wpływa na wydajność sieci.
Przede wszystkim możesz mieć problem architektoniczny.
Jeśli osiągasz limit reguł NACL, jest to najprawdopodobniej dlatego, że nie stosujesz zalecanego przez AWS podejścia do architektury VPC i korzystania z usług takich jak WAF (i Shield for DDoS) w celu blokowania niepożądanego ruchu i jawnych ataków.
Jeśli martwisz się atakami DDoS: jak chronić dynamiczne aplikacje internetowe przed atakami DDoS za pomocą Amazon CloudFront i Amazon Route 53
źródło
Nie jest to dokładnie to, o co prosiłeś, ale może dobrze wykonać zadanie.
Skonfiguruj CloudFront przed swoją infrastrukturą. Użyj warunków dopasowania IP, aby skutecznie blokować ruch. CloudFront działa zarówno z zawartością statyczną, jak i dynamiczną i może przyspieszać zawartość dynamiczną, ponieważ wykorzystuje szkielet AWS, a nie publiczny Internet. Oto, co mówią lekarze
Korzystając z CloudFront, powinieneś blokować bezpośredni dostęp do wszelkich zasobów publicznych za pomocą grup zabezpieczeń. AWS Aktualizacja zabezpieczeń Grupy lambda zachowa swoje grupy zabezpieczeń na bieżąco, aby umożliwić ruch w CloudFront ale odrzucają innego ruchu. Jeśli przekierujesz http na https za pomocą CloudFront, możesz nieco ulepszyć skrypty, aby http nie uderzył w twoją infrastrukturę. Możesz także dodać do białej listy dowolne adresy IP, które wymagają bezpośredniego dostępu administratora.
Alternatywnie możesz użyć CDN innej firmy, takiej jak CloudFlare. CloudFlare ma skuteczną zaporę ogniową, ale dla wielu reguł chcesz 200 USD miesięcznie. To może być tańsze niż CloudFront, przepustowość AWS jest dość droga. Bezpłatny plan daje tylko 5 reguł zapory.
źródło