如何理解AWS 网络,如何创建一个多层安全网络架构

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何理解AWS 网络,如何创建一个多层安全网络架构相关的知识,希望对你有一定的参考价值。

一、要求
  1. 创建一个三层网络架构,服务器只能通过跳板机连接;
  2. web 服务器只能由跳板机连接,80 端口只能由 ELB 访问,服务器不分配公网IP,外网连接通过 NAT;
  3. 数据库服务器只能由 web 服务器连接 3306 端口;
  4. 服务器分布在多 AZ。

网络架构图

技术图片

网络各组件关系

组件包括 NACL,Route,Security Group,Internet Gateway,NAT Gateway,Elastic IP等。

技术图片

画图工具:https://www.processon.com/i/5a24e7d6e4b0f3a798660105

二、操作步骤

2.1、网络设置

  1. 创建 VPC;
  2. 创建 IGW,附加到 VPC 上面;
  3. 创建需要的六个子网,放在创建的 VPC 下面;
  4. 创建三个路由,分别为私网,NAT,公网;
  5. 公网路由添加条目0.0.0.0/0路由到 IGW,然后关联两个公有子网,两个公有子网开启自动分配公网IP;
  6. 私网路由不需要添加路由条目,默认即可,关联到两个私有子网;
  7. 创建 NAT 网关,选择放置公有子网;
  8. NAT 路由添加路由条目0.0.0.0/0路由到刚刚创建的 NAT 设备,然后关联两个私有子网;

2.2、安全设置

可以设置 NACL,为每个子网设置防火墙,我们这里为了简便,不再进行设置,只设置实例的安全组完成。

  1. 为跳板机实例创建安全组 bastion-sg,只允许特定的 IP 访问 22 号端口;
  2. 为 ELB 实例创建安全组 elb-sg,只允许访问 80 端口;
  3. 为 Web 实例创建安全组 web-sg,所有流量只允许 bastion-sg,elb-sg 组内的实例访问;
  4. 为数据库实例创建安全组 db-sg,只允许 web-sg 组内的实例访问 3306 端口。

2.3、创建实例

  1. 创建跳板机实例,选择第一个公有子网,配置好设定的安全组;
  2. 分别创建 Web 实例,选择三,四两个私有子网,配置好设定的安全组;
  3. 创建 RDS 子网租,选择五,六两个私有子网,创建实例,选择刚创建的子网组。

以上是关于如何理解AWS 网络,如何创建一个多层安全网络架构的主要内容,如果未能解决你的问题,请参考以下文章

适用于 iOS/Android 的 AWS 移动开发工具包中内置的网络安全性如何?

网络负载均衡器的AWS EC2安全组权限

教程篇(7.2) 11. 安全架构 & FortiGate安全 ❀ Fortinet网络安全专家 NSE4

AWS考证方向技术知识

PyTorch如何实现多层全连接神经网络

如何强制删除网络接口? AWS - 分离网络接口时出错