Controlling the Network (简体中文)

概览

您是 AnyCompany 的一名网络安全工程师。AnyCompany 即将向云端迁移，您负责在 AWS 中创建安全的网络基础设施，以便为此次迁移做好准备。目前，AnyCompany 在本地拥有一个三层的网络安全基础设施。

• 公有访问区托管一些负载均衡器，用作通向您的 Web 服务器的主要连接点。
• Web 服务器区为您的网站托管前端服务器。
• 数据库区托管后端数据库服务器，用于向您的网站提供数据。

您必须确保每个区都安全地彼此分隔，并且仅允许特定类型的流量在这些区之间流动，从而为公司的网站和应用程序提供支持。

在本实验中，您需要使用公有子网、私有子网、安全组和网络 ACL，创建一个包含上述三个安全区的网络基础设施。然后，您需要使用 VPC 流日志来监控到达每个区中的资源的流量，验证是否仅允许所需流量通过。

目标

本实验结束时，您将能够：

• 创建一个包含三个安全区的网络基础设施
• 使用安全组、网络 ACL 以及公有子网和私有子网实施网络分段
• 使用 VPC 流日志监控流向 EC2 实例的网络流量

技术知识先决条件

要成功完成本实验，您应该熟悉 AWS Management Console 的导航，并且了解一些基本网络概念。

时长

完成本实验大约需要 45 分钟。

图标说明

本实验中使用了不同图标，以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途：

• 您可以用来验证命令或已编辑文件输出的示例输出
• 某种提示、技巧或重要指导
• 查找详细信息的位置
• 特别相关或特别重要的信息（不查看该信息并不会对设备或数据造成问题，但可能导致需要重复某些步骤）
• 暂停一下，思考可以如何在自己的环境中应用某个概念，或者就当前的主题展开讨论
• 检查您的知识掌握情况和测试您学到的知识
• 针对某个问题或难点的提示

环境概览

下图显示了实验环境的基本架构：

以下列表详细列出了图中的主要资源：

• 一个 VPC，在第一个可用区具有一个公有子网和两个私有子网，在第二个可用区具有一个公有子网。
• 一个具有两个节点（每个公有子网中各有一个）的 Network Load Balancer。
• 一个 EC2 实例，在第一个私有子网中充当 Web 服务器。
• 一个在第二个私有子网中充当数据库服务器的 EC2 实例。
• 两个安全组，每个安全组根据其用途各自对应一个实例。

网络流量从外部用户流经互联网网关，到达两个网络负载均衡器节点之一，最后到达 Web 服务器。如果请求在 Web 服务器上运行的 WordPress 博客站点的 URL，流量也会流向数据库服务器。

由于在为应用程序负载均衡器创建证书方面实验平台当前存在一些限制，因此实验改用网络负载均衡器。该负载均衡器用作传入 Web 服务器的流量的传递通道，而不会以任何方式对这些流量进行分析或转换。在生产环境中，可以考虑使用 Application Load Balancer 来利用其附加功能和安全措施，例如在来自客户端的 HTTPS 请求到达 Web 服务器之前接受并处理此类请求。有关每类弹性负载均衡器的功能的更多信息，请参阅本实验末尾其他资源部分的_弹性负载均衡产品比较_。