Максимально к ACL сети VPC можно применить 40 правил.
У меня есть список из более чем 50 IP-адресов, к которым мне нужно явно заблокировать доступ в наших системах через любой порт и любой протокол. Это идеальная цель для ACL, но предел мешает мне выполнить эту задачу.
Конечно, я могу сделать это в IPTables на каждом хосте, но я хочу заблокировать любой трафик для всех компонентов в VPC (например, для ELB). Более того, гораздо лучше управлять этими правилами в одном месте, а не на каждом хосте.
Я надеюсь, что есть какой-то способ, которым я не понимаю, как делать это на уровне системы / платформы. Группы безопасности явно разрешают без действия запрета, поэтому они не помогут.
Вот идея левого поля ... вы можете "обнулить" 50 заблокированных IP-адресов, добавив "сломанный" маршрут в таблицу маршрутов VPC для каждого IP.
Это не предотвратит попадание трафика с IP-адресов в вашу инфраструктуру (только NACL и SG предотвратят это), но предотвратит возвращение каждого обратного трафика «домой».
Это не совсем то, о чем вы просили, но может сработать достаточно хорошо.
Настройте CloudFront перед своей инфраструктурой. Использовать Условия соответствия IP эффективно блокировать трафик. CloudFront работает как со статическим, так и с динамическим контентом и может ускорять динамический контент, поскольку использует магистраль AWS, а не общедоступный Интернет. Вот что говорят документы
Если вы хотите разрешить одни веб-запросы и заблокировать другие на основе IP-адресов, с которых исходят запросы, создайте условие соответствия IP для IP-адресов, которые вы хотите разрешить, и другое условие совпадения IP для IP-адресов, которые вы хотите заблокировать. .
При использовании CloudFront следует заблокировать прямой доступ к любым общедоступным ресурсам с помощью групп безопасности. В AWS Update Security Groups лямбда будет поддерживать ваши группы безопасности в актуальном состоянии, чтобы разрешить трафик CloudFront, но отклонять другой трафик. Если вы перенаправляете http на https с помощью CloudFront, вы можете немного настроить сценарии, чтобы предотвратить попадание http в вашу инфраструктуру. Вы также можете занести в белый список любые IP-адреса, которым нужен прямой доступ администратора.
В качестве альтернативы вы можете использовать стороннюю CDN, такую как CloudFlare. CloudFlare имеет эффективный брандмауэр, но за необходимое количество правил он составляет 200 долларов в месяц. Это вполне может быть дешевле, чем CloudFront, полоса пропускания AWS довольно дорога. Бесплатный план дает вам только 5 правил брандмауэра.
Невозможно увеличить лимит NACL, а большое количество правил NACL влияет на производительность сети.
Прежде всего, у вас может быть проблема с архитектурой.
Если вы достигли предела правила NACL, это, скорее всего, связано с тем, что вы не используете рекомендуемый AWS подход к архитектуре VPC и использованию таких сервисов, как WAF (и Щит для DDoS), чтобы заблокировать нежелательный трафик и явные атаки.
Если вас беспокоят DDoS-атаки: Как помочь защитить динамические веб-приложения от DDoS-атак с помощью Amazon CloudFront и Amazon Route 53