检查EC2是否只能访问特定IP段

本节将通过Network Access Analyzer,检查EC2是否只能访问特定的公网IP段

点击Create network access scope

image-20230817203609783

选择Empty template

image-20230817203617769

为scope命名:

image-20230817203643943

Source和Destination的配置如下,Source选择一台EC2实例,Destination选择IGW,这将检查EC2到公网之间是否存在路径:

image-20230817203734708

Exclusion部分,排除掉到55.5.0.0/16 443端口的访问:

image-20230817203942467

所以上面的配置,我们将检查这台EC2除了 55.5.0.0/16 443端口外,是否还能访问其他地址。

点击创建:

image-20230817203958110

点击分析:

image-20230817204007274

分析的结果存在网络路径,这表示除了55.5.0.0/16 的443端口外,EC2还能访问到其他地址:

image-20230817205601309

上面的结果中显示了Security group的配置,里面放开了0.0.0.0/0。我们进入这个sg,编辑它的规则:

image-20230817205708892

在Outbound规则上,限制只能访问55.5.0.0/16 443端口:

image-20230817205725834

重新进行分析:

image-20230817205742669

此时结果显示为空,这表示这台EC2只能访问55.5.0.0/16 443端口了:

image-20230817205907652