我可以向 AWS VPN 连接添加“防火墙规则”吗?

我可以向 AWS VPN 连接添加“防火墙规则”吗?

我需要通过 VPN 将几个客户连接到 AWS VPC。要求:

  • 没有客户可以向另一个客户发送数据(或最好:甚至“查看”)
  • 它们应该只能“看到”一个内部主机,最好是只能看到特定的端口范围。

我的问题是 - 使用 AWS VPN 网关和 VPN 连接可以实现这一点吗?如果可以,怎么做?

因为我现在读了很多东西,也用谷歌搜索了很多,但我没有找到任何将安全组(或类似组)分配给 AWS VPN 连接的方法。在我看来,这意味着“任何站点到站点的连接都允许所有流量”,这与我需要的正好相反。

有人能帮我吗?

提前感谢任何信息!:)

┌───────────────────┬─────────────────┐                    ┌──────────┐
│subnet 1           │         subnet 2│                    │          │
│ ┌──────────┐      │                 │   ┌────────────────┤customer 1│
│ │          │      │must be possible │   │                │          │
│ │server 1  │◄─────┼────┐            │   ▼                └──────────┘
│ │          │      │    │   ip: ┌────┴─────┐ip:                ▲
│ └──────────┘      │    │   int1│    .     │public             │
│                   │    ├───────┤vpn gw    │                   │ must also
│ ┌──────────┐      │    │       │    .     │                 XXX not be
│ │          │      │    │       └────┬─────┘                   │ possible
│ │server 2  │◄─XXX─┤XXX─┘            │   ▲                     │
│ │          │      │must not be      │   │                ┌────┴─────┐
│ └──────────┘      │possible         │   │                │          │
│                   │                 │   └────────────────┤customer 2│
│                   │                 │                    │          │
└───────────────────┴─────────────────┘                    └──────────┘

答案1

AWS 客户端 VPN比标准 VPN 更合适,标准 VPN 并非真正用于连接多个客户。客户端 VPN 运行良好,但我从未尝试过在多个客户端之间路由。身份验证时要小心。

如果您必须使用站点到站点 VPN,并且每个客户都有一台服务器,我会采用不同的方法。我会为每个客户设置一个单独的子网/VPN/帐户,并将所有东西完全分开,因此需要单独的 VPN。共享基础设施可以通过共享 VPC、传输网关等来实现。

相关内容