AWS 文档中描述了站点到站点 VPN 涉及在 AWS 中的虚拟专用网关和本地客户网关之间创建两个隧道。(请参阅https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
这两条隧道意味着在 AWS 端为每个隧道分配了两个公共 IP 地址。我的问题是:如何在 AWS 端对这些 IP 地址设置防火墙,以便它们仅允许来自本地 IP 范围的流量?
看起来网络 ACL 和安全组对此都没有用,因为它们都在 VPN 内部运行,并且此时我们已经越过了 VPN 网关。
那么,我该如何在隧道公共 IP 上实施安全性?它们是否对攻击者开放,以便他们尝试猜测凭据并建立自己的隧道?(我知道这包括暴力破解秘密,但听起来仍然很合理)。
这有必要吗?还是说已经有其他安全层可以处理这个问题,而我却没有注意到?
答案1
监听隧道端点公共 IP 的设备正在监听来自以下来源的流量:你的客户网关分配的 IP 地址你的VPN 连接的密钥。
客户网关设备外部接口的互联网可路由 IP 地址 - 该值必须是静态的。
https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DetermineNetworkInfo
如果您创建的 VPN 连接使用的 IP 地址不是与您定义的客户网关设备关联的 IP 地址,则它将不会使用您的凭据与网关设备协商隧道。
AWS 端的这两个外部 IP 地址也可能为以下对象提供服务:其他 VPN 连接,以便高效利用 IPv4 地址空间和其他类型的资源,但我提到这方面只是为了完整性——除非您使用具有相同 IP 地址的相同客户网关连接到该区域的其他 VPC,否则它没有任何意义。每个 VPN 连接(以及对您的 VPC 的访问)都限制在每一端的一组特定对等地址,包括您的客户网关的静态 IP 和一组特定的预共享密钥。