在部署實例之前準備安全群組,以確保為資料防護端口和管理端口正確配置規則。
在您將虛擬網路感測器 AMI 部署到新實例之前,您需要為資料埠和管理埠創建兩個安全群組。由於兩個埠的安全設置不同,TrendAI™ 建議在啟動實例之前使用以下步驟創建安全群組。
 |
重要您的安全群組必須與您的虛擬網路感測器部署在相同的 VPC 上。在開始之前,請確保您已選擇或創建了一個用於虛擬網路感測器的 VPC。
如需有關如何設置 VPC 和子網路的詳細資訊,請參閱 Amazon 文件。
|
 |
注意這些指示中的步驟截至2024年1月有效。
|
步驟
- 在 AWS 管理控制台上,前往 EC2 資訊中心。
- 在頂部導航欄中,選擇您計劃部署實例的Region。
注意
該區域可以設置為您需要部署虛擬網路感測器的任何區域。如果您不確定選擇哪個區域,請使用您的 AWS 帳戶的預設區域。 - 前往。
- 要建立資料防護埠規則,請點選Create security group。
- 配置Basic details。
- 指定一個唯一的名稱。TrendAI™ 建議使用易於識別的規則名稱,例如
VirtualNetworkSensor_DataPort - 輸入規則集的描述。
- 選擇要儲存安全群組的 VPC。
- 指定一個唯一的名稱。
- 配置Inbound rules。
- 點選Add rule。
- 配置新規規則。
-
Type:選擇All traffic。
-
Source:TrendAI™ 建議將來源設置為自訂,並將 IP 結束範圍設置為 0.0.0.0/0 以允許虛擬網路感測器掃瞄所有流量。允許所有流量進入資料埠可為虛擬網路感測器提供對您安全環境的最大可見性。
-
- 確保 Outbound rules 設定為預設值以接受所有流量。
注意
TrendAI™ 建議使用輸出埠規則的預設設定。設定額外的輸出規則可能會影響虛擬網路感測器掃瞄所有流量的能力。 - 將標籤指派給您的規則。
秘訣
添加標籤有助於管理物件,例如安全性規則,提供一種方法來追蹤所有權或定位與已部署實例相關的資源。 - 點選Create security group。安全群組已建立,並開啟新建立的安全群組詳細資料頁面。
- 前往。
- 若要建立管理埠規則,請點選Create security group。
- 配置Basic details。
- 指定一個唯一的名稱。TrendAI™ 建議使用易於識別的規則名稱,例如
VirtualNetworkSensor_ManagementPort - 輸入規則集的描述。
- 選擇要儲存安全群組的 VPC。
- 指定一個唯一的名稱。
- 配置Inbound rules。
- 點選Add rule以建立新規則。
- 配置以下規則。類型通訊協定通訊埠範圍來源類型來源目的SSHTCP22建議:自訂指定以 CIDR 表示法的 IP 位址或選擇允許存取虛擬網路感測器的安全群組。要存取虛擬網路感測器 CLISH 主控台HTTPTCP80建議:自訂指定以 CIDR 表示法的 IP 位址或選擇允許存取虛擬網路感測器的安全群組。偵錯日誌匯出自訂 UDPUDP4789建議:自訂指定您鏡像來源或 NLB 的 IP 位址(CIDR 表示法)。對於 AWS 流量鏡像所需的 VXLAN 流量自訂 TCPTCP14789建議:自訂請以 CIDR 表示法指定您 NLB 的 IP 位址。回答 NLB 健康檢查
注意
Source type 控制允許連接到虛擬網路感測器的 IP 位址。TrendAI™ 建議將 Source type 設定為 Custom,然後指定 Source IP 位址或安全群組。請參閱 AWS 說明以取得有關指派 IP 位址和安全群組的詳細資訊。
- 確保 Outbound rules 設定為預設值以接受所有流量。
注意
TrendAI™ 建議使用輸出埠規則的預設設定。設定額外的輸出規則可能會影響虛擬網路感測器連接到網路清單的能力。 - 將標籤指派給您的規則。
- 點選Create security group。安全群組已建立,並開啟新建立的安全群組詳細資料頁面。您的環境現在應該已準備好啟動虛擬網路感測器實例。