我正在研究使用 Suricata IPS 规则实施 AWS 网络防火墙,并且发现很难找到与规则等相关的真实示例和想法。我们的客户强调IPS、IDS 和反恶意软件。
我今天的设置是 Internet Gateway -> Application Load Balancer -> Auto-scaling ECS 容器。如果我错了,请纠正我,但防火墙适合 IG 和 ALB 之间?
我花了一些时间盯着下面的屏幕;
我最初的问题是;
- 我如何确定哪些规则适用于我?
- 什么是真正的“容量”?
从第一个开始,我相信我可以选择的规则都列在这里,最初我认为我肯定想使用他们提供的所有 30k (?) 规则。再想一想,我认为这可能会影响我们最终用户的响应能力。那么,如果我在考虑 IPS,对于向公众开放端口 80 和 443 的 Web 解决方案,哪些规则集是必要的?如果我查看包含所有“新兴”规则的文件,他们列出了大约 30k 条规则,但我几乎不认为它们都与我相关。
关于第二点容量,亚马逊解释如下;
规则组允许的最大处理能力。将有状态规则组的容量要求估计为您希望添加的规则数。更新规则组时不能更改或超出此设置。
最初我认为“一个容量”是指一条线(任何规则集中的一条规则),但后来我明白一条线本身可能需要多达 450 个“容量”(我已经丢失了我阅读/解释这个的链接)。
我知道这个主题很大,而且我在防火墙方面有点新手,但是谁能告诉我如何解决这个问题?我觉得好像我不确定我在问什么,所以如果我需要澄清任何事情,请告诉我。