本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 集中式出口
*集中式出站*的原则是,所有发往互联网的网络流量都使用单一的通用入口点。您可以在此入口点设置检查,并且可以仅允许流量进入指定域或仅允许通过指定端口或协议的流量。集中出口还可以帮助您降低成本,因为无需在每个网关中部署 NAT 网关即可 VPCs 访问互联网。从安全角度来看,这是有益的,因为它限制了暴露给外部可访问的恶意资源(例如:恶意软件命令和控制(C&C)基础设施)。有关集中出站的更多信息和架构选项,请参阅[集中式互联网出口](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)(AWS 白皮书)。
您可以使用 [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html),它是一种有状态的托管式网络防火墙和入侵检测和防护服务,作为出口流量的中心检查点。您可以在专用 VPC 中为出口流量设置此防火墙。Network Firewall 支持有状态规则,您可以使用这些规则来限制对特定域的互联网访问。有关更多信息,请参阅[域筛选](https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-examples.html#suricata-example-domain-filtering)(Network Firewall 文档)。
您也可以使用 [Amazon Route 53 Resolver DNS 防火墙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)限制特定域的出口流量,主要是为了防止未经授权的数据外泄。在 DNS 防火墙规则中,您可以应用[域列表](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-domain-lists.html)(Route 53 文档),允许或拒绝对指定域的访问。您可以使用 AWS 托管域列表,其中包含与恶意活动或其他潜在威胁相关的域名,也可以创建自定义域列表。您可以创建 DNS 防火墙规则组,然后将其应用于您的 VPCs。出站 DNS 请求在 VPC 中通过 Resolver 进行域名解析,DNS 防火墙根据应用于 VPC 的规则组对请求进行筛选。发送到 Resolver 的递归 DNS 请求不会流经中转网关和 Network Firewall 路径。Route 53 Resolver 和 DNS 防火墙应被视为 VPC 之外的独立出口路径。
下图显示了集中式出口的示例架构。在网络通信开始之前,DNS 请求会发送到 Route 53 Resolver,DNS 防火墙允许或拒绝解析用于通信的 IP 地址。发往互联网的流量将路由到集中式网络账户中的中转网关。中转网关将流量转发到 Network Firewall 进行检查。如果防火墙策略允许出口流量,则流量会通过 NAT 网关、互联网网关路由到互联网。您可以使用 AWS Firewall Manager 在多账户基础架构中集中管理 DNS 防火墙规则组和 Network Firewall 策略。
![\[来自其他账户的流量通过网络账户路由到互联网。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/3_egress.png)
## 保护出口流量的最佳实践
+ 从[仅日志记录模式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-actions.html)(Route 53 文档)开始。确认合法流量不受影响后,请更改为屏蔽模式。
+ 使用[网络访问控制列表的AWS Firewall Manager 策略或使用,阻止进入](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)互联网的 DNS 流量 AWS Network Firewall。所有 DNS 查询都应通过 Route 53 解析器进行路由,在那里你可以使用 Amazon GuardDuty (如果启用)对其进行监控,并使用 R [oute 53 解析器 DNS 防火墙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)(如果启用)对其进行过滤。有关更多信息,请参阅[解析与您的网络 VPCs 之间的 DNS 查询](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html)(Route 53 文档)。
+ 在 DNS 防火墙和 Network Firewall 中使用 [AWS 托管的域列表](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-managed-domain-lists.html)(Route 53 文档)。
+ 考虑屏蔽高风险、未使用的顶级域名,例如:.info、.top、.xyz 或某些国家/地区代码域名。
+ 考虑屏蔽高风险、未使用的端口,例如:端口 1389、4444、3333、445、135、139 或 53。
+ 首先,您可以使用包含 AWS 托管规则的拒绝列表。然后,你可以随着时间的推移努力实现允许名单模型。例如,与其在允许列表中仅包含严格的完全限定域名的列表,不如先使用一些通配符,例如 *\$1* .example.com。您甚至可以只允许您期望的顶级域名,而屏蔽所有其他域名。然后,随着时间的推移,也要缩小范围。
+ 使用 [Route 53 配置](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html)文件(Route 53 文档)在许多 VPCs 不同 AWS 账户版本中应用与 DNS 相关的 Route 53 配置。
+ 定义处理这些最佳做法异常的流程。