Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie konfiguriere ich meine Netzwerk-Firewall-Regeln, um bestimmte Domains zu blockieren oder zuzulassen?

Lesedauer: 8 Minute
0

Ich möchte die AWS Network Firewall verwenden, um ausgehenden Webverkehr von Ressourcen in meiner Amazon Virtual Private Cloud (Amazon VPC) zu filtern.

Kurzbeschreibung

Die AWS Network Firewall verwendet entweder die Aktionsreihenfolge oder die strikte Bewertungsreihenfolge, um die domainbasierte Filterung für ausgehenden Webverkehr zu unterstützen. Verwende zum Konfigurieren von Regeln eine statusbehaftete Domainlisten-Regelgruppe oder Suricata-kompatible Zeichenfolgen. Die Domaininspektion funktioniert für HTTP- und HTTPS-Protokolle.

Bei HTTP überprüft die Firewall den Host-Header. Für HTTPS verwendet die Firewall die Server Name Indication (SNI) im TLS-Handshake. Wenn du eine Zulassungsliste für Domains verwendest, sendet die Netzwerk-Firewall den Datenverkehr nur an bestimmte Domains und verwirft alle anderen Anfragen.

Weitere Informationen findest du unter Suricata-kompatible Regelzeichenfolgen in der AWS Network Firewall und unter Stateful-Domain-List-Regelgruppen in der AWS Network Firewall.

Lösung

Eine Domainlistengruppe für eine Richtlinie mit der Standardaktionsreihenfolge konfigurieren

Führe die folgenden Schritte aus:

  1. Erstelle eine Firewall.
  2. Wähle im Navigationsbereich der Amazon VPC-Konsole unter Network Firewall die Option Firewall-Richtlinien.
  3. Wähle die standardmäßige Firewall-Richtlinie für Aktionsreihenfolge aus, die du bearbeiten möchtest.
  4. Wähle unter Stateful-Regelgruppen die Option Aktionen und dann Stateful-Regelgruppe erstellen.
  5. Wähle für Stateful-Regelgruppen-Format die Option Domainliste aus.
    Hinweis: Du kannst die statusbehaftete Regelreihenfolge nicht ändern, da sie von der Richtlinie übernommen wurde. Die Regelreihenfolge wird als Aktionsreihenfolge angezeigt.
  6. Gib einen eindeutigen Regelgruppennamen ein.
  7. Gib für Kapazitätsreservierung eine geschätzte Anzahl von Domains ein, um sie in der Liste mitaufzunehmen.
    Hinweis: Nachdem du die Regelgruppe erstellt hast, kannst du den Wert nicht mehr ändern.
  8. Gib unter Domainliste für Domainnamenquelle die Domainnamen ein, die du abgleichen möchtest. Du kannst Domains als exakte Übereinstimmung definieren, z. B. abc.example.com. Du kannst sie auch als Platzhalter definieren, z. B. example.com.
  9. Wähle für CIDR-Bereiche eine der folgenden Optionen:
    **Standard ** für eine Quell-IP-Adresse, die in derselben VPC wie die Firewall vorhanden ist.
    **Benutzerdefiniert ** für eine Quell-IP-Adresse, die in einer Remote-VPC vorhanden ist. Gib unter Quell-IP-CIDR-Bereiche die Quellsubnetze ein, die die Firewall überprüfen soll.
  10. Wähle für Protokolle HTTP und HTTPS.
  11. Wähle unter Aktion die Option Zulassen.
  12. Wähle Regelgruppe erstellen.

Mit der Bewertung der Aktionsreihenfolge eine Suricata-kompatible IPS-Regel für eine Richtlinie definieren

Führe die folgenden Schritte aus:

  1. Erstelle eine Firewall.
  2. Wähle im Navigationsbereich der Amazon VPC-Konsole unter Network Firewall die Option Firewall-Richtlinien.
  3. Wähle die standardmäßige Firewall-Richtlinie für Aktionsreihenfolge aus, die du bearbeiten möchtest.
  4. Wähle unter Stateful-Regelgruppen die Option Aktionen und dann Stateful-Regelgruppe erstellen.
  5. Wähle für das Stateful-Regelgruppenformat die Option Suricata-kompatible Regelzeichenfolge aus.
    Hinweis: Du kannst die statusbehaftete Regelreihenfolge nicht ändern, da sie von der Richtlinie übernommen wurde. Die Regelreihenfolge wird als Aktionsreihenfolge angezeigt.
  6. Gib einen eindeutigen Regelgruppennamen ein.
  7. Gib für Kapazitätsreservierung eine geschätzte Anzahl von Domains ein, um sie in der Liste mitaufzunehmen.
    Hinweis: Nachdem du die Regelgruppe erstellt hast, kannst du den Wert nicht mehr ändern.
  8. (Optional) Definiere benutzerdefinierte Regelvariablen für die Verwendung in den Suricata-Signaturen.
  9. (Optional) Definiere IP-Set-Referenzen, um sie in den Suricata-Signaturen zu verwenden.
  10. Gib unter Suricata-kompatible Regelzeichenfolge die folgenden Regeln ein:
pass http $HOME_NET any -> $EXTERNAL_NET any (http.host; dotprefix; content:".amazonaws.com"; endswith; msg:"matching HTTP allowlisted FQDNs"; flow:to_server, established; sid:1; rev:1;)
pass http $HOME_NET any -> $EXTERNAL_NET any (http.host; content:"example.com"; startswith; endswith; msg:"matching HTTP allowlisted FQDNs"; flow:to_server, established; sid:2; rev:1;)
pass tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; dotprefix; content:".amazonaws.com"; nocase; endswith; msg:"matching TLS allowlisted FQDNs"; flow:to_server, established; sid:3; rev:1;)
pass tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"example.com"; startswith; nocase; endswith; msg:"matching TLS allowlisted FQDNs"; flow:to_server, established; sid:4; rev:1;)
drop http $HOME_NET any -> $EXTERNAL_NET any (http.header_names; content:"|0d 0a|"; startswith; msg:"not matching any HTTP allowlisted FQDNs"; flow:to_server, established; sid:5; rev:1;)
drop tls $HOME_NET any -> $EXTERNAL_NET any (msg:"not matching any TLS allowlisted FQDNs"; flow:to_server, established; sid:6; rev:1;)

Hinweis: Ersetze in den vorherigen Regeln die Domains durch die Domains, die du einbeziehen möchtest. Wähle Regelgruppe erstellen.

Hinweis: Domainregeln enthalten in der Regel das etablierte Flow-Schlüsselwort, aber es berücksichtigt möglicherweise nicht alle Randfälle, in denen der Paketaustausch unterbrochen wird. Bevor du ein Beispiel für eine Regelliste verwendest, teste die Regel, um sicherzustellen, dass sie wie erwartet funktioniert.

Eine Domainlistenregelgruppe für eine Richtlinie mit der strengen Bewertungsreihenfolge konfigurieren

Führe die folgenden Schritte aus:

  1. Erstelle eine Firewall.
  2. Wähle im Navigationsbereich der Amazon VPC-Konsole unter Network Firewall die Option Firewall-Richtlinien.
  3. Wähle die Firewall-Richtlinie mit strikter Bewertungsreihenfolge aus, die du bearbeiten möchtest.
  4. Wähle unter Stateful-Regelgruppen die Option Aktionen und dann Stateful-Regelgruppe erstellen.
  5. Wähle für Stateful-Regelgruppen-Format die Option Domainliste aus.
    Hinweis: Du kannst eine statusbehaftete Regelreihenfolge nicht ändern, da sie von der Richtlinie übernommen wurde. Die Regelreihenfolge wird als Strikt angezeigt.
  6. Gib einen eindeutigen Regelgruppennamen ein.
  7. Gib für Kapazitätsreservierung eine geschätzte Anzahl von Domains ein, um sie in der Liste mitaufzunehmen.
    Hinweis: Nachdem du die Regelgruppe erstellt hast, kannst du den Wert nicht mehr ändern.
  8. Gib unter Domainliste für Domainnamenquelle die Domainnamen ein, die du abgleichen möchtest. Du kannst Domains als exakte Übereinstimmung definieren, z. B. abc.example.com. Du kannst sie auch als Platzhalter definieren, z. B. example.com.
  9. Wähle für CIDR-Bereiche eine der folgenden Optionen:
    **Standard ** für eine Quell-IP-Adresse, die in derselben VPC wie die Firewall vorhanden ist.
    **Benutzerdefiniert ** für eine Quell-IP-Adresse, die in einer Remote-VPC vorhanden ist. Gib unter Quell-IP-CIDR-Bereiche die Quellsubnetze ein, die die Firewall überprüfen soll.
  10. Wähle für Protokolle HTTP und HTTPS.
  11. Wähle unter Aktion die Option Zulassen.
  12. Wähle Regelgruppe erstellen.
  13. Wähle im Navigationsbereich unter Netzwerk-Firewall die Option Firewall-Richtlinien.
  14. Wähle die strengen Bestellrichtlinien aus.
  15. Wähle für Reihenfolge und Standardaktionen für Stateful-Regel-Bewertung die Option Bearbeiten.
  16. Wähle für Standardaktionen die Option Verwerfen etabliert und dann Speichern.

Eine Suricata-kompatible IPS-Regel für eine Richtlinie mit einer strengen Bewertungsreihenfolge definieren

Führe die folgenden Schritte aus:

  1. Erstelle eine Firewall.
  2. Wähle im Navigationsbereich der Amazon VPC-Konsole unter Network Firewall die Option Firewall-Richtlinien.
  3. Wähle die Firewall-Richtlinie mit strikter Bewertungsreihenfolge aus, die du bearbeiten möchtest.
  4. Wähle unter Stateful-Regelgruppen die Option Aktionen und dann Stateful-Regelgruppe erstellen.
  5. Wähle für das Stateful-Regelgruppenformat die Option Suricata-kompatible Regelzeichenfolge aus.
    Hinweis: Du kannst die statusbehaftete Regelreihenfolge nicht ändern, da sie von der Richtlinie übernommen wurde. Die Regelreihenfolge wird als Strikt angezeigt.
  6. Gib einen eindeutigen Regelgruppennamen ein.
  7. Gib für Kapazitätsreservierung eine geschätzte Anzahl von Domains ein, um sie in der Liste mitaufzunehmen.
    Hinweis: Nachdem du die Regelgruppe erstellt hast, kannst du den Wert nicht mehr ändern.
  8. (Optional) Definiere benutzerdefinierte Regelvariablen, um sie in den von dir definierten Suricata-Signaturen zu verwenden.
  9. (Optional) Definiere IP-Set-Referenzen, um sie in den von dir definierten Suricata-Signaturen zu verwenden.
  10. Gib unter Suricata-kompatible Regelzeichenfolge die folgenden Regeln ein:
pass http $HOME_NET any -> $EXTERNAL_NET any (http.host; dotprefix; content:".amazonaws.com"; endswith; msg:"matching HTTP allowlisted FQDNs"; flow:to_server, established; sid:1; rev:1;)
pass http $HOME_NET any -> $EXTERNAL_NET any (http.host; content:"example.com"; startswith; endswith; msg:"matching HTTP allowlisted FQDNs"; flow:to_server, established; sid:2; rev:1;)
pass tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; dotprefix; content:".amazonaws.com"; nocase; endswith; msg:"matching TLS allowlisted FQDNs"; flow:to_server, established; sid:3; rev:1;)
pass tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"example.com"; startswith; nocase; endswith; msg:"matching TLS allowlisted FQDNs"; flow:to_server, established; sid:4; rev:1;)

Hinweis: Ersetze in den vorherigen Regeln die Domains durch die Domains, die du einbeziehen möchtest. Wähle Regelgruppe erstellen. Wähle im Navigationsbereich unter Netzwerk-Firewall die Option Firewall-Richtlinien. Wähle die strengen Bestellrichtlinien aus. Wähle für Reihenfolge und Standardaktionen für Stateful-Regel-Bewertung die Option Bearbeiten. Wähle für Standardaktionen die Option Verwerfen etabliert und dann Speichern.

Hinweis: Domainregeln enthalten in der Regel das Schlüsselwort etabliertes Flow. Dieses Schlüsselwort erfasst möglicherweise nicht alle Randfälle, in denen Pakete außerhalb der normalen Verbindungs-Flow ausgetauscht werden. Bevor du ein Beispiel für eine Regelliste verwendest, teste die Regel, um sicherzustellen, dass sie wie erwartet funktioniert.

Konfigurationen testen

Um zu testen, ob die Konfigurationen funktionieren, führe curl-Befehle für die angegebenen Domains aus.

Der folgende Beispielbefehl testet den HTTPS-Zugriff auf die Domain https://example.com:

curl -v --silent https://example.com --stderr - | grep 200

Wenn der Zugriff erlaubt ist, erhältst du die folgende Ausgabe:

< HTTP/2 200

Der folgende Beispielbefehl testet den HTTP-Zugriff auf http://www.google.com:

curl -v http://www.google.com

Die folgende Beispielausgabe zeigt, dass Firewallregeln den HTTP-Datenverkehr blockieren, weil die Verbindung bei der GET-Anfrage beendet wird:

* Trying 172.253.115.99:80...
* Connected to www.google.com (http://www.google.com/) (172.253.115.99) port 80 (#0)
> GET / HTTP/1.1
> Host: www.google.com (http://www.google.com/)
> User-Agent: curl/7.79.1
> Accept: /

Der folgende Beispielbefehl testet den HTTPS-Zugriff auf https://www.google.com:

curl -v https://www.google.com

Die Ausgabe zeigt, dass der HTTPS-Datenverkehr blockiert ist, weil die Verbindung während des TLS-Handshakes unterbrochen wird:

* Trying 172.253.115.147:443...
* Connected to www.google.com (https://www.google.com/) (172.253.115.147) port 443 (#0)
* ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations: * CAfile: /etc/pki/tls/certs/ca-bundle.crt * CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22): * TLSv1.2 (OUT), TLS handshake, Client hello (1):

Ähnliche Informationen

Firewall-Richtlinien in der Netzwerk-Firewall

Eine statusbehaftete Regelgruppe erstellen

Beispiele für Stateful-Regeln für die Netzwerk-Firewall

Themen
Security, Identity, & Compliance
Tags
AWS Network Firewall
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 8 Monaten

Relevanter Inhalt