コードが必要以上に複雑に記述されており、コードの繰り返しが多いため、コードの理解と変更が難しくなっています。 そのため、最初にコードを短縮して一般化する方法について説明します。 これにより、PIN を 3 回入力するとカードが無効になるなど、新機能の実装が容易になります。
1. プライベートサブネットへの SSH 用に AWS Network Access Control List を設定する方法
最初に、いくつかの用語の意味を定義します。NACLS - ネットワーク アクセス コントロール リストは、サブネット レベルで適用されるステートレス パケット フィルタです。 「ステートレス」の側面に留意することが重要です。これは、サブネットに出入りするすべてのトラフィックを明示する必要があることを意味します。 たとえば、'state-full' ルール アプローチ (AWS のセキュリティ グループが適用するもの) では、SSH に TCP/22 のインバウンド トラフィックを指定するだけで、アウトバウンド トラフィックが自動的に許可されます。 NACLS ではこれは当てはまりません。トラフィックの通過を許可するために、各方向にルールを指定する必要があります。セキュリティ グループ - これらは、VPC 内の 1 つ以上のインスタンスに適用できるステートフル ルールのグループです。 これらはインスタンス レベルで適用されることに注意してください。 セキュリティ グループは、従来のステートフル ファイアウォールと比較できますが、個々のインスタンス レベルで適用されるため、同じサブネット内であってもインスタンスを互いに分離できます。 また、それらはステートフルであるため、サーバーへのトラフィック (SSH の TCP/22 など) を許可する場合、対応するアウトバウンド ルールの作成について心配する必要はありません。プラットフォームが自動的にそれを処理します。これら 2 つを比較する優れた表があります。フロー 。 を使用します。 .だからそれをチェックしてください。 パブリック サブネット - AWS の用語では、これは単純に、接続されたインターネット ゲートウェイを介した 0.0.0.0/0 ルートを持つルート テーブルが接続されたサブネットです。プライベート サブネット - これは逆です。 接続されたインターネット ゲートウェイ経由の 0.0.0.0/0 ルートはありません。 0 が含まれる可能性があることに注意してください。 0. 0. 環境内のNATゲートウェイまたは同様のプロキシを介した0/0ルート。直接ではありません。問題は、NACLSとセキュリティグループがある場合、どちらを使用するかです。 AWS は、NACL を「VPC のオプションのセキュリティ層」と説明しています。 確かに、一般的にはセキュリティ グループで十分であり、柔軟性が高く、同じ保護を提供します。 ただし、私の経験では、NACLS が使用されている典型的なケースがいくつかあります: AWS は、ここで利用可能な多くの構成シナリオに関するガイダンスも提供しています: VPPC に推奨されるネットワーク ACL ルールマイ ガイダンスは、通常、セキュリティ グループが適切な保護を提供し、理解しやすいです。構成し、アプリケーションでより柔軟できめ細かくなります。 NACL は、ヒューマン エラーやより高度な構成に対して追加のバックストップを提供しますが、基本的な用途では通常は使用されません。 したがって、AWS がそれらを「オプション」と呼ぶ理由を推測します。NACL をデフォルト設定のままにし (すべてのトラフィックの出入りを許可する)、代わりにセキュリティ グループに焦点を当てます。おそらくシナリオでは必要ない複雑なレイヤー。 学習の観点から、それらがそこにあり、ステートレスであり、サブネット レベルで適用され、ルーティングの決定後、サブネットに入るトラフィックのセキュリティ グループの前に適用されることを知っておくとよいでしょう。 特定の状況に関しては、NACL を使用しているため、NACL はステートレスであることを覚えておく必要があります。 したがって、サブネットに出入りするすべてのトラフィック フローを考慮する必要があります。これが、セキュリティ グループが非常に簡単である主な理由です。 したがって、あなたの場合は次のとおりです。ルール#300のようなルールを追加する必要があります(ただし、送信元IPの形式が少し間違っていることに注意してください-以下を参照)、送信パブリックサブネットACLに、プライベートサブネットの送信元を使用して受信します. 次に、セキュリティグループが適切に構成されていると仮定すると、準備が整うはずです.それが役立つことを願っています.追加するには-他の回答に従って-パブリックサブネットのアウトバウンドルールセットのルール #300 の形式が正しくありません. 0.0.0.0/32 ではなく 0.0.0.0/0 である必要がありますが、あなたの場合、ルール #50 が最初にヒットし、とにかくすべてのトラフィックを許可しているため、ヒットしていませんでした。あなたの問題を引き起こしています。
2. 最高のキオスク/アクセス制御ソフトウェア? [閉まっている]
おそらく、コンピューターの他の側面からそれらを完全にブロックして、ブラウザーに限定したくないでしょう。 システムに加えられた変更を非常に簡単に復元できるプログラムが必要なようです。この目的のために、Faronics DeepFreeze を強くお勧めします。 DeepFreeze は、コンピュータに加えられた変更を監視し、単純な再起動ですべてを元に戻すことができます。 XPおよびVistaで動作するSteadyStateと呼ばれるMicrosoftの無料ソリューションもあります
3. Access-Control-Allow-Origin の設定: * セッション識別子が HTTP ヘッダーに挿入される場合
ええ、それは正しいです。 そこから価値のあるものを得るには、攻撃者は資格情報を取得する必要があります。 これらがローカル ストレージ、JS 変数、またはブラウザーが適用する同じオリジン ポリシーによって保護されるものに保存されている場合、CORS ポリシー自体に大きな問題はありません。 しかし、考えなければならない関連する問題がたくさんあります。認証方式は適切ですか?クロスオリジンリクエストを有効にしたいので、サードパーティがAPIを使用することになっていると思いますが、サードパーティはどのようにして秘密を取得しますか?等々
深センTigerWongテクノロジー株式会社
電話:86 13717037584
メール: info@sztigerwong.com
住所: シリコン バレー パワー デジタル工業団地、ビル A2、1 階、No. 龍華区観蘭街大福路22号
中国広東省深セン