Security
如何像 EC 2 一樣在 LAN(使用者作業系統外)實現防火牆?
在 aws ec2 中,使用者可以設置像防火牆一樣工作的安全組,通常,防火牆在網關/nat 伺服器後面工作,但是,我發現 EC2 中的防火牆也可以在 LAN 中工作。
例如,使用者有太多實例,
A: 10.108.33.13/26
,B: 10.108.33.18/26
,根據ip
andnetmask
,他們在同一個區域網路中,但是,如果我將這些實例放在不同的安全組中(並且規則阻止來自不同 sgs 的訪問),防火牆就會對它們起作用。我的問題是,我認為防火牆僅適用於 ip 和埠所在的 Layer3/4。在 LAN 中,主機之間的流量通過第 2 層(按 MAC 地址)。怎麼可能在區域網路中實現這樣的防火牆?
PS我檢查了每台主機上的iptables,我確定它已經停止了。
一大堆更高級的 L3 交換機支持ACL,每個數據包/幀在進入時都會被檢查 - 無論它是否會進入交換機的路由引擎。這樣,對同一廣播域內的主機的限制可以相當容易地實現,儘管應該注意 ACL 的處理通常不像有狀態數據包過濾器所期望的那樣複雜(主要是因為處理邏輯是在電路而不是軟體)。
話雖如此,由於亞馬遜正在使用 Xen 進行虛擬化,因此他們將大量使用虛擬交換/Linux 橋接,並且可能會在軟體層內實現過濾 -能夠在橋接介面上進行 IP 過濾的ebtables將是一個很好的候選者用於引擎蓋下的處理。