实验概览
您最近被聘为 AnyCompany 的首位网络安全工程师。在完成初步的安全审计后,您得出结论,认为该企业缺乏对网络流量的可见性。此外,您还担心 AnyCompany 的一个或多个 EC2 实例可能感染了恶意软件。根据您的建议,您需要实施一个网络架构,结合使用 AWS Network Firewall 和 Route 53 Resolver DNS,以便:
- 使用有状态防火墙规则执行出口 Web 过滤。
- 监控 DNS 流量。
- 识别您认为可能已受到感染的 EC2 实例。
在本实验中,您将结合使用域列表、规则组和监控来确保 VPC 的安全并识别一系列受感染的 EC2 实例。
注意:如果您正在参加 re:Inforce 大会,希望跟随本焦点实验的讲师操作,则可以使用以下演示文稿:
@prezi
目标
完成本实验后,您将能够:
- 在 AWS Network Firewall 中配置符合与 Suricata 兼容的入侵防御系统 (IPS) 规则规范的有状态规则组。
- 结合使用托管式和自定义 DNS 域列表创建 DNS 防火墙,提醒管理员注意可疑查询。
- 使用 Amazon CloudWatch 中的 Log Insights 和 Contributor Insights 来识别受感染的 EC2 实例。
技术性知识先决条件
建议熟悉路由和 DNS。您还应该能够熟练地在 Linux 环境中使用 Command Line Interface (CLI)。
时长
完成本实验大约需要 90 分钟。
图标说明
本实验中使用了不同图标,以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途:
- 命令:您必须运行的命令。
- 预期输出:您可以用来验证命令或已编辑文件输出的示例输出。
- 注意:一项提示、技巧或重要指导。
- 了解详情:可以找到更多信息的位置。
- 提醒:提示特别相关或重要的信息(不查看该信息并不会损坏设备或数据,但可能导致需要重复某些步骤)。
- 思考:暂停一下,思考如何在自己的环境中应用某个概念,或者就当前的主题展开讨论。
- 提示:针对某个问题或挑战的提示。
- 安全:尽可能运用安全方面的最佳实践。
- 刷新:您可能需要刷新 Web 浏览器页面或列表才能看到新信息。
