Q&A
AWS内のサーバーに対し、外部からの接続制限を実施接続と思っております。
制限内容は以下の通りです
①日本国外からの通信を拒否する
②接続許可ポートは、80・443・XXXX(固定ポート)のみとする
外部(AWS外)からAWSのサーバーへは、
PC → インターネット → インターネットゲートウェイ → ALB → サーバー
の順で接続します。
この時、上記①および②の制限をALBで実行しようとしたのですが、
方法がよくわかりませんでした
①について、
・「日本からのアクセスをすべて通過」させようとしたのですが、「日本から」のところでうまい方法が出ませんでした
(GIPを想定していたのですが、「日本から」と判断できるGIPが多すぎて、設定が大変(漏れの可能性も考慮))
②ALBでは、80・443以外のポート許可設定ができない
上記①と②の解決方法、お分かりになられる方、ご教授願えませんでしょうか
回答1件
0
ベストアンサー
ALBを使うことが出来る前提で書くなら下記です。
①ALBを使っているならAWS WAFが使えるはずです。
恐らく、AWSのGeo Matchを使えば日本国内からのアクセスに絞れるかと思います。
参考
https://dev.classmethod.jp/cloud/aws/aws-waf-support-regex-and-geo-match/
②ALBの仕様です。アプリケーション層のLBなのでそうなっています。
ただ、気になるのはXXXX(固定ポート)の用途です。
アプリケーションサーバのその固定ポートにさえアクセスできればアプリケーションサーバの80や443へのアクセスが必要ないのであれば、ALBの80,443のアクセスをアプリケーションサーバのその固定ポートに転送すればよいのですが、そうでないならばALBは使えません。
その状態でAWS WAFを使うなら、現実的にはCloudfrontを使ってCloudfrontとAWS WAFを連携させることですが、該当のサービスに対してそれが適するかはこれだけだとちょっとわかりません。
参考
https://aws.amazon.com/jp/waf/faq/
- AWS WAF ではどのようなサービスをサポートしますか?
AWS WAF は Amazon CloudFront、Application Load Balancer (ALB)、Amazon API Gateway にデプロイできます。Amazon CloudFront の一部として、エッジロケーションでリソースやコンテンツを保護するコンテンツ配信ネットワーク (CDN) の一部を構成できます。Application Load Balancer の一部として、ALB の背後にあるオリジンウェブサーバーを保護することができます。Amazon API Gateway の一部として、REST API の保護に役立ちます。
その他の方法としてはこの辺が参考になりそうです。
https://qiita.com/tt2004d/items/6ffd26612f6c9c9ba047
投稿2019/09/11 03:51
総合スコア7588
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/09/11 04:10
2019/09/12 01:27