將 SG 連接到 AWS 上的 NAT 網關

tag-icon tag-icon amazon-web-services security firewall
將 SG 連接到 AWS 上的 NAT 網關

如何將有狀態安全群組附加到 AWS 中 NAT 閘道的網路介面?如果我嘗試手動添加它,則會收到以下錯誤:“您無權訪問指定的資源。”在門戶中。

預設情況下,NAT 閘道的介面沒有附加安全性群組,因此 VPC 流日誌顯示入站網際網路流量已接受。我知道 NAT 網關不接受實際流量並被丟棄,但這仍然很煩人,因為它會使日誌混亂。

在這裡,NAT 網關的私人 IP 是 10.0.1.226,您可以看到它正在從公共互聯網進行探測:

version  account-id    interface-id           srcaddr          dstaddr     srcport  dstport  protocol  packets  bytes  start       end         action  log-status
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.159  10.0.1.226  54995    20121    6         1        44     1631843704  1631843705  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.207.249  10.0.1.226  37490    8098     6         1        40     1631843722  1631843724  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.59    10.0.1.226  52915    5017     6         1        40     1631843709  1631843741  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  45.135.232.119   10.0.1.226  43453    8737     6         1        40     1631843761  1631843762  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.149  10.0.1.226  4078     9010     6         1        44     1631843780  1631843782  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  89.248.165.204   10.0.1.226  53823    5354     6         1        40     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  192.241.215.86   10.0.1.226  43709    137      17        1        78     1631843789  1631843799  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.146  10.0.1.226  14176    18045    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  162.142.125.150  10.0.1.226  48059    21381    6         1        44     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  185.191.34.207   10.0.1.226  59477    36       6         1        40     1631843739  1631843790  ACCEPT  OK
2        770604943877  eni-0d9c6092f69e85b93  91.132.58.183    10.0.1.226  5106     5162     17        1        443    1631843739  1631843790  ACCEPT  OK

如果我新增網路 ACL 以拒絕來自 Internet 的入站流量,則會阻止接受 VPC 發起的出站 Internet 存取的回應。

有關的:https://aws.amazon.com/premiumsupport/knowledge-center/vpc-analyze-inbound-traffic-nat-gateway/

答案1

我發現你的問題有點令人困惑。當您說“NSG”時,我假設您指的是“安全群組”。 Azure 有“網路安全群組”,AWS 有“安全性群組”。另外,你還沒有說出你想要實現的目標,你已經說了什麼不起作用,這使得我們很難幫助你。我會給你一些一般性的想法,但如果這些不正確,請編輯你的問題以說出你想要實現的目標,並修正縮寫。

NAT 閘道沒有安全群組。安全群組是 ENI 周圍的防火牆,例如 EC2 執行個體上的防火牆。您無需為入站流量付費,因此除了對特定問題/事件進行安全調查之外,您不必真正關心 NAT 閘道拒絕的內容。 NAT 網關中沒有任何內容,這就是它們的用途。

聽起來您的主要問題是 VPC 流日誌中的拒絕流量,即 NAT 網關拒絕來自互聯網的流量。我的主要建議是忽略它,因為也許有一天它會在高安全性環境中用於取證目的,或者如果不需要,請關閉 VPC 流日誌。我使用 VPC 流日誌進行診斷,並且僅在需要 PCI / CIS / 類似合規性的情況下將其保留在日誌期限內。我曾經花了相當多的時間試圖在無法訪問互聯網的內部子網中追蹤拒絕的情況,但在到達任何地方之前我已經沒有時間了。我就放手了。

您可以變更範圍VPC流日誌。您不必為整個 VPC 建立流日誌,而是僅為您的私人子網路建立流日誌,並確保您的 NAT 閘道位於公有子網路中。這樣就不會記錄來自網路的拒絕流量。

您也可以設定流日誌來記錄接受、拒絕或兩種類型的流量。

總結並解決您的評論:

  1. VPC 流日誌是一種用於網路診斷(很少開啟)或合規性日誌記錄(始終開啟但有意限定範圍)的工具。沒有多少人打開它們。
  2. 我僅在有充分理由時才打開 VPC 流日誌。當我這樣做時,我將它們範圍限定為我需要的網路介面和流量類型(接受/拒絕/兩者)。
  3. 我僅在進行網路診斷時查看 VPC 流日誌。當我查看它們時,它是針對特定的介面/事件的,因此我忽略了我不需要看到的所有內容。
  4. 我已將 Cloudwatch 日誌組設定為適當的保留期。

相關內容