在 AWS 上拒绝除 cloudwatch 之外的所有出站流量

Posted 2023-04-14

【中文标题】在 AWS 上拒绝除 cloudwatch 之外的所有出站流量

【英文标题】：Deny all outbound traffic except cloudwatch on AWS

【发布时间】：2015-12-02 22:00:33

【问题描述】：

我有一个服务器（Java/Tomcat 正在运行），它产生了巨大的出站流量。此服务器无法从外部访问，只有内部网络服务器可以访问。即只允许来自内部网络的入站。

为了解决巨大的出站流量，我们已通过 aws 安全组阻止了除内部网络服务器之外的所有出站流量。

但现在它也停止了将数据发送到 cloudwatch 的 aws 自定义监控脚本。

那么我需要在出站规则中打开什么 IP 范围才能将流量发送到 cloudwatch？

【问题讨论】：

无论您认为该服务器是否可以从外部访问，“巨大的出站流量”都是一个巨大的危险信号，表明它已被破坏。它能够生成此类流量的事实表明它具有您不了解的外部连接。阻止出站流量并不能解决真正的问题，并且在您将其关闭并找到真正的问题之前，您的整个基础架构可能会面临巨大的安全风险。

【参考方案1】：

新加坡地区：

如果您 p​​ing 端点，则可以找到 Cloudwatch IP monitoring.ap-southeast-1.amazonaws.com 通过任何 AWS 服务器。

对于 AWS 中的任何其他区域，请参阅下面的链接。 http://docs.aws.amazon.com/general/latest/gr/rande.html#cw_region

以上页面列出了所有 AWS 服务的端点。

【讨论】：

尝试 开始 > 运行> cmd > 按回车 > 键入 telnet cloudwatchURL 以查看任何错误消息，如果 ping 不起作用，则作为 B 计划

最好不要像那样解析AWS端点的IP地址。我认为端点应该是负载均衡器和the load balancer IP address might be changed。我尝试解析 CloudWatch 几次并获得了一些不同的 IP 地址。

@Edward Samuel - 如果使用 AWS 安全组，应该有什么替代方案？ Afaik AWS 安全组只允许基于 IP 的规则 - 我们不能将端点 URL 放入其中？