概览
您是 AnyCompany 的一名网络安全工程师。贵公司即将向云端迁移,您负责在 AWS 中搭建一个安全的网络基础设施,以便为此次迁移做好准备。目前,贵公司在本地拥有一个三层的网络安全基础设施。
- 公共访问区托管负载均衡器,这些均衡器用作通向贵公司 Web 服务器的主要连接点。
- Web 服务器区为您的网站托管前端服务器。
- 数据库区托管后端数据库服务器,用于向贵公司网站提供数据。
您必须确保每个区都安全地彼此分隔,并且仅允许特定类型的流量在这些区之间流动,从而为公司的网站和应用程序提供支持。
在本实验中,您将使用公有子网、私有子网、安全组和网络 ACL,创建一个包含上述三个安全区的网络基础设施。然后,您需要使用 VPC 流日志来监控每个区中访问各个资源的流量,验证是否仅允许了所需流量通过。
目标
完成本实验后,您将能够:
- 创建一个包含三个安全区的网络基础设施
- 使用安全组、网络 ACL 以及公有和私有子网实施网络分段
- 使用 VPC 流日志监控到 EC2 实例的网络流量
技术性知识先决条件
要成功完成本实验,您应该熟悉 AWS Management Console 的导航路径,并且了解一些基本网络概念。
持续时间
完成本实验大约需要 45 分钟。
图标说明
本实验中使用了不同图标,以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途:
- 示例输出,您可以用来验证命令或已编辑文件的输出结果
- 提示、技巧或重要指导
- 查找详细信息的位置
- 特别相关或特别重要的信息(不查看该信息并不会对设备或数据造成问题,但可能导致需要重复某些步骤)
- 暂停一下,思考如何在自己的环境中应用某个概念,或者就当前的主题展开讨论
- 检查您的知识掌握情况和测试您学到的知识
- 针对某个问题或难点的提示
环境概览
下图显示了实验环境的基本架构:
下面列出了图中主要资源的详细信息:
- 一个 VPC,它在第一个可用区中有一个 public subnet(公有子网)和两个 private subnets(私有子网),在第二个可用区中有一个 public subnet(公有子网)。
- 一个 Network Load Balancer,它有两个节点,每个公有子网中各有一个。
- 一个在第一个私有子网中充当 Web 服务器的 EC2 instance(EC2 实例)。
- 一个在第二个子网中充当数据库服务器的 EC2 instance(EC2 实例)。
- 两个 security groups(安全组),每个安全组根据其用途各自对应一个实例。
网络流量从外部用户流经互联网网关,到达两个 Network Load Balancer 节点之一,最后到达 Web 服务器。如果请求在 Web 服务器上运行的 WordPress 博客站点的 URL,流量也会流向数据库服务器。
由于当前实验平台在为 Application Load Balancer 创建证书方面存在限制,因此改用 Network Load Balancer。该负载均衡器充当 Web 服务器传入流量的传递通道,而不会以任何方式对这些流量进行分析或转换。在生产环境中,您可能会考虑使用 Application Load Balancer,以便利用其额外的功能和安全措施,例如,接受并处理客户端的 HTTPS 请求,然后允许其到达 Web 服务器。有关每类 Elastic Load Balancer 功能的更多信息,请前往本实验末尾处,参阅其他资源部分中的 Elastic Load Balancing 产品比较。