Firewall-Ports für virtuelle Lightsail for Research-Computer verwalten

Eine Firewall in Amazon Lightsail for Research kontrolliert den Datenverkehr, der eine Verbindung zu Ihrem virtuellen Computer herstellen darf. Sie fügen der Firewall Ihres virtuellen Computers Regeln hinzu, die das Protokoll, die Ports und die Quelle IPv4 oder IPv6 Adressen angeben, mit denen eine Verbindung hergestellt werden darf. Firewall-Regeln sind stets zulassend, Sie können keine Regeln erstellen, die den Zugriff verweigern. Sie geben Ihrer Firewall Regeln, damit der Datenverkehr Ihren virtuellen Computer erreichen kann. Jeder virtuelle Computer hat zwei Firewalls: eine für IPv4 Adressen und eine für IPv6 Adressen. Beide Firewalls sind unabhängig voneinander und enthalten einen vorkonfigurierten Regelsatz, der den in die Instance eingehenden Datenverkehr filtert.

Protokolle

Ein Protokoll ist das Format, in dem Daten zwischen zwei Computern übertragen werden. Sie können die folgenden Protokolle in einer Firewallregel angeben:

• TCP (Transmission Control Protocol) wird hauptsächlich zum Herstellen und Verwalten einer Verbindung zwischen Clients und der auf Ihrem virtuellen Computer ausgeführten Anwendung verwendet. Es handelt sich um ein weit verbreitetes Protokoll, das Sie häufig in den Firewall-Regeln angeben können.

• UDP (User Datagram Protocol) wird hauptsächlich für den Aufbau von Verbindungen mit geringer Latenz und verlusttolerierenden Verbindungen zwischen Clients und der auf Ihrem virtuellen Computer ausgeführten Anwendung verwendet. Es ist ideal für Netzwerkanwendungen, in denen die empfundene Latenz kritisch ist, wie Spiele, Sprach- und Videokommunikation.

• Internet Control Message Protocol (ICMP) wird in erster Linie zur Diagnose von Problemen bei der Netzwerkkommunikation verwendet, z. B. um festzustellen, ob Daten das beabsichtigte Ziel rechtzeitig erreichen. Es ist ideal für das Ping-Dienstprogramm, mit dem Sie die Geschwindigkeit der Verbindung zwischen Ihrem lokalen Computer und Ihrem virtuellen Computer testen können. Es gibt an, wie lange Daten benötigen, bis sie Ihren virtuellen Computer erreichen und zu Ihrem lokalen Computer zurückkehren.

• Alle bedeutet, dass der gesamte Protokolldatenverkehr in Ihre Instance fließen kann. Geben Sie dieses Protokoll an, wenn Sie nicht sicher sind, welches Protokoll angegeben werden soll. Dies schließt alle Internetprotokolle ein, nicht nur die hier angegebenen. Weitere Informationen finden Sie unter Protokollnummern auf der Website der Internet Assigned Numbers Authority.

Ports

Ähnlich wie physische Ports auf Ihrem Computer, mit denen Ihr Computer mit Peripheriegeräten wie Tastatur und Maus kommunizieren kann, dienen Firewall-Ports als Internet-Kommunikationsendpunkte für Ihren virtuellen Computer. Wenn ein Client versucht, eine Verbindung mit Ihrem virtuellen Computer herzustellen, wird ein Port verfügbar gemacht, über den die Kommunikation hergestellt werden kann.

Die Ports, die Sie in einer Firewall-Regel angeben können, können zwischen 0 und 65535 liegen. Wenn Sie eine Firewallregel erstellen, die es einem Client ermöglicht, eine Verbindung mit Ihrem virtuellen Computer herzustellen, geben Sie das zu verwendende Protokoll an. Sie geben auch die Portnummern an, über die die Verbindung hergestellt werden kann, und die IP-Adressen, die eine Verbindung herstellen dürfen.

Die folgenden Ports sind standardmäßig für neu erstellte virtuelle Computer geöffnet.

• TCP

  • 22 – Wird für Secure Shell (SSH) verwendet.

  • 80 – Wird für das Hypertext Transfer Protocol (HTTP) verwendet.

  • 443 – Wird für Hypertext Transfer Protocol Secure (HTTPS) verwendet.

  • 8443 – Wird für Hypertext Transfer Protocol Secure (HTTPS) verwendet.

Gründe für das Öffnen und Schließen von Ports

Wenn Sie Ports öffnen, ermöglichen Sie einem Client, eine Verbindung mit Ihrem virtuellen Computer herzustellen. Wenn Sie Ports schließen, blockieren Sie Verbindungen zu Ihrem virtuellen Computer. Um beispielsweise einem SSH-Client die Verbindung zu Ihrem virtuellen Computer zu ermöglichen, konfigurieren Sie eine Firewallregel, die TCP über Port 22 nur von der IP-Adresse des Computers aus zulässt, der eine Verbindung herstellen muss. In diesem Fall lassen Sie nicht zu, dass eine IP-Adresse eine SSH-Verbindung zu Ihrem virtuellen Computer herstellt. Dies könnte sonst zu einem Sicherheitsrisiko führen. Wenn diese Regel bereits in der Firewall Ihrer Instance konfiguriert ist, können Sie sie löschen, um zu verhindern, dass der SSH-Client eine Verbindung zu Ihrem virtuellen Computer herstellt.

Die folgenden Verfahren zeigen Ihnen, wie Sie die derzeit auf Ihrem virtuellen Computer geöffneten Ports abrufen, neue Ports öffnen sowie Ports schließen können.

Erfüllen der Voraussetzungen

Sorgen Sie dafür, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie beginnen.

• Erstellen Sie einen virtuellen Computer in Lightsail for Research. Weitere Informationen finden Sie unter Erstellen Sie einen virtuellen Lightsail for Research-Computer.

• Laden Sie das AWS Command Line Interface ()AWS CLI herunter und installieren Sie es. Weitere Informationen finden Sie unter Installieren oder Aktualisieren auf die neueste Version von  AWS CLI im AWS Command Line Interface -Benutzerhandbuch für Version 2.

• Konfigurieren Sie die AWS CLI , um auf Ihre zuzugreifen AWS-Konto. Weitere Informationen finden Sie unter Konfigurationsgrundlagen im AWS Command Line Interface -Benutzerhandbuch für Version 2.

Abrufen des Portstatus für einen virtuellen Computer

Führen Sie das folgende Verfahren durch, um die Portstatus für einen virtuellen Computer abzurufen. Dieses Verfahren verwendet den get-instance-port-states AWS CLI Befehl, um den Firewall-Portstatus für einen bestimmten virtuellen Lightsail for Research-Computer, die IP-Adressen, die über die Ports eine Verbindung mit dem virtuellen Computer herstellen dürfen, und das Protokoll abzurufen. Weitere Informationen finden Sie unter get-instance-port-states in der Referenz zum AWS CLI -Befehl.

1. Dieser Schritt wird vom Betriebssystem Ihres lokalen Computers bestimmt.

   • Wenn Ihr lokaler Computer ein Windows-Betriebssystem verwendet, öffnen Sie ein Eingabeaufforderungsfenster.

   • Wenn Ihr lokaler Computer ein Linux- oder UNIX-basiertes Betriebssystem (einschließlich macOS) verwendet, öffnen Sie ein Terminal-Fenster.

2. Geben Sie den folgenden Befehl ein, um den Firewall-Portstatus und die zulässigen IP-Adressen und Protokolle abzurufen. Ersetzen Sie den Befehl REGION durch den Code der AWS -Region, in der der virtuelle Computer erstellt wurde, z. B. us-east-2. Ersetzen Sie NAME durch den Namen Ihres virtuellen Computers.

   aws lightsail get-instance-port-states --region REGION --instance-name NAME

   Beispiel

   aws lightsail get-instance-port-states --region us-east-2 --instance-name MyUbuntu

   In der Antwort werden die offenen Ports und Protokolle sowie die IP-CIDR-Bereiche angezeigt, die eine Verbindung zu Ihrem virtuellen Computer herstellen dürfen.

   

   Informationen zum Öffnen von Ports finden Sie im nächsten Abschnitt.

Öffnen von Ports für einen virtuellen Computer

Führen Sie das folgende Verfahren durch, um Ports für einen virtuellen Computer zu öffnen. Bei diesem Verfahren wird der open-instance-public-ports AWS CLI Befehl verwendet. Sie können Firewall-Ports öffnen, damit Verbindungen über eine vertrauenswürdige IP-Adresse oder einen IP-Adressbereich hergestellt werden können. Um die IP-Adresse 192.0.2.44 zu erlauben, geben Sie 192.0.2.44 oder 192.0.2.44/32 an. Um die IP-Adressen 192.0.2.0 bis 192.0.2.255 zu erlauben, geben Sie 192.0.2.0/24 an. Weitere Informationen finden Sie unter open-instance-public-ports in der Referenz zum AWS CLI -Befehl.

1. Dieser Schritt wird vom Betriebssystem Ihres lokalen Computers bestimmt.

   • Wenn Ihr lokaler Computer ein Windows-Betriebssystem verwendet, öffnen Sie ein Eingabeaufforderungsfenster.

   • Wenn Ihr lokaler Computer ein Linux- oder UNIX-basiertes Betriebssystem (einschließlich macOS) verwendet, öffnen Sie ein Terminal-Fenster.

2. Geben Sie den folgenden Befehl ein, um Ports zu öffnen.

   Ersetzen Sie im Befehl die folgenden Elemente:

   • REGIONErsetzen Sie durch den Code der AWS Region, in der der virtuelle Computer erstellt wurde, z. us-east-2 B.

   • Ersetzen Sie NAME durch den Namen Ihres virtuellen Computers.

   • Ersetzen Sie FROM-PORT durch den ersten Port in einer Reihe von Ports, die Sie öffnen möchten.

   • Ersetzen Sie PROTOCOL durch den IP-Protokollnamen. Zum Beispiel TCP.

   • Ersetzen Sie TO-PORT durch den letzten Port in einer Reihe von Ports, die Sie öffnen möchten.

   • Ersetzen Sie IP durch die IP-Adresse oder den IP-Adressbereich, die/den Sie für die Verbindung mit Ihrem virtuellen Computer zulassen möchten.

   aws lightsail open-instance-public-ports --region REGION --instance-name NAME --port-info fromPort=FROM-PORT, protocol=PROTOCOL, toPort=TO-PORT,cidrs=IP

   Beispiel

   aws lightsail open-instance-public-ports --region us-east-2 --instance-name MyUbuntu --port-info fromPort=22, protocol=TCP, toPort=22,cidrs=192.0.2.0/24

   In der Antwort werden die neu hinzugefügten Ports und Protokolle sowie die IP-CIDR-Bereiche angezeigt, die eine Verbindung zu Ihrem virtuellen Computer herstellen dürfen.

   

   Informationen zum Schließen von Ports finden Sie im nächsten Abschnitt.

Schließen von Ports für einen virtuellen Computer

Führen Sie das folgende Verfahren durch, um Ports für einen virtuellen Computer zu schließen. Dieses Verfahren verwendet den close-instance-public-ports AWS CLI Befehl. Weitere Informationen finden Sie unter close-instance-public-ports in der Referenz zum AWS CLI -Befehl.

1. Dieser Schritt wird vom Betriebssystem Ihres lokalen Computers bestimmt.

   • Wenn Ihr lokaler Computer ein Windows-Betriebssystem verwendet, öffnen Sie ein Eingabeaufforderungsfenster.

   • Wenn Ihr lokaler Computer ein Linux- oder UNIX-basiertes Betriebssystem (einschließlich macOS) verwendet, öffnen Sie ein Terminal-Fenster.

2. Geben Sie den folgenden Befehl ein, um Ports zu schließen.

   Ersetzen Sie im Befehl die folgenden Elemente:

   • REGIONErsetzen Sie durch den Code der AWS Region, in der der virtuelle Computer erstellt wurde, z. us-east-2 B.

   • Ersetzen Sie NAME durch den Namen Ihres virtuellen Computers.

   • Ersetzen Sie FROM-PORT durch den ersten Port in einer Reihe von Ports, die Sie schließen möchten.

   • Ersetzen Sie PROTOCOL durch den IP-Protokollnamen. Zum Beispiel TCP.

   • Ersetzen Sie TO-PORT durch den letzten Port in einer Reihe von Ports, die Sie schließen möchten.

   • Ersetzen Sie IP durch die IP-Adresse oder den IP-Adressbereich, die/den Sie entfernen möchten.

   aws lightsail close-instance-public-ports --region REGION --instance-name NAME --port-info fromPort=FROM-PORT, protocol=PROTOCOL, toPort=TO-PORT,cidrs=IP

   Beispiel

   aws lightsail close-instance-public-ports --region us-east-2 --instance-name MyUbuntu --port-info fromPort=22, protocol=TCP, toPort=22,cidrs=192.0.2.0/24

   In der Antwort werden die Ports und Protokolle sowie die IP-CIDR-Bereiche angezeigt, die geschlossen wurden und keine Verbindung zu Ihrem virtuellen Computer mehr herstellen dürfen.

   

Fortfahren mit dem nächsten Schritt

Nachdem Sie die Verwaltung der Firewall-Ports für Ihren virtuellen Computer abgeschlossen haben, können Sie die folgenden zusätzlichen Schritte ausführen:

• Holen Sie sich das Schlüsselpaar Ihres virtuellen Computers. Mit dem Schlüsselpaar können Sie eine Verbindung mit zahlreichen SSH-Clients wie OpenSSH, PuTTY und Windows Subsystem for Linux herstellen. Weitere Informationen finden Sie unter Holen Sie sich ein key pair für einen virtuellen Lightsail for Research-Computer.

• Stellen Sie über SSH Connect eine Verbindung zu Ihrem virtuellen Computer her, um ihn über die Befehlszeile verwalten zu können. Weitere Informationen finden Sie unter Dateien mithilfe von Secure Copy auf virtuelle Lightsail for Research-Computer übertragen.

• Stellen Sie mithilfe von SCP eine Verbindung zu Ihrem virtuellen Computer her, um Dateien sicher zu übertragen. Weitere Informationen finden Sie unter Dateien mithilfe von Secure Copy auf virtuelle Lightsail for Research-Computer übertragen.