Pare-feux d'instance dans Amazon Lightsail

Le pare-feu de la console Amazon Lightsail agit comme un pare-feu virtuel qui contrôle le trafic autorisé à se connecter à votre instance via son adresse IP publique. Chaque instance que vous créez dans Lightsail possède deux pare-feux, l'un pour les adresses IPv4 et l'autre pour les adresses IPv6. Chaque pare-feu contient un ensemble de règles qui filtrent le trafic entrant dans l'instance. Les deux pare-feu sont indépendants les uns des autres ; vous devez configurer les règles de pare-feu séparément pour IPv4 et IPv6. Modifiez le pare-feu de votre instance à tout moment, en ajoutant et en supprimant des règles pour autoriser ou restreindre le trafic.

Rubriques

• Pare-feux Lightsail
• Créer les règles de pare-feu
• Spécifier les protocoles
• Spécification de ports
• Spécifier les types de protocole de couche d'application
• Spécifier les adresses IP sources
• Règles de pare-feu Lightsail par défaut
• Référence des règles de pare-feu pour les instances de Lightsail
• Contrôlez le trafic entrant vers les instances à l'aide des règles de pare-feu Lightsail

Pare-feux Lightsail

Chaque instance de Lightsail possède deux pare-feux, l'un pour les adresses IPv4 et l'autre pour les adresses IPv6. Tout le trafic Internet entrant et sortant de votre instance Lightsail passe par ses pare-feux. Les pare-feu d'une instance contrôlent le trafic Internet qui est autorisé à circuler dans votre instance. Cependant, ils ne contrôlent pas le trafic qui en sort : les pare-feu autorisent tout le trafic sortant. Modifiez les pare-feu de votre instance, à tout moment, en ajoutant et en supprimant des règles pour autoriser ou restreindre le trafic entrant. Notez que les deux pare-feu sont indépendants les uns des autres ; vous devez configurer les règles de pare-feu séparément pour IPv4 et IPv6.

Les règles de pare-feu sont toujours permissives ; vous ne pouvez pas créer de règles qui refusent l'accès. Vous ajoutez des règles aux pare-feu de votre instance pour autoriser le trafic à atteindre votre instance. Lorsque vous ajoutez une règle au pare-feu de votre instance, vous spécifiez le protocole à utiliser, le port à ouvrir et les adresses IPv4 et IPv6 autorisées à se connecter à votre instance, comme illustré dans l'exemple suivant (pour IPv4). Vous pouvez également spécifier un type de protocole de couche d'application, préréglage qui spécifie pour vous le protocole et la plage de ports en fonction du service que vous prévoyez d'utiliser sur votre instance.

Important

Les règles de pare-feu n'affectent que le trafic qui passe par l'adresse IP publique d'une instance. Cela n'affecte pas le trafic entrant via l'adresse IP privée d'une instance, qui peut provenir des ressources Lightsail de votre compte, ou des ressources d'un cloud privé virtuel (VPC) apparenté, dans le Région AWS même compte. Région AWS

Les règles de pare-feu et leurs paramètres configurables sont expliqués dans les sections suivantes de ce guide.

Créer les règles de pare-feu

Créez une règle de pare-feu pour permettre à un client d'établir une connexion avec votre instance ou avec une application en cours d'exécution sur votre instance. Par exemple, pour permettre à tous les navigateurs Web de se connecter à l' WordPress application sur votre instance, vous configurez une règle de pare-feu qui active le protocole TCP (Transmission Control Protocol) sur le port 80 à partir de n'importe quelle adresse IP. Si cette règle est déjà configurée sur le pare-feu de votre instance, vous pouvez la supprimer pour empêcher les navigateurs Web de se connecter à l' WordPress application de votre instance.

Important

Vous pouvez utiliser la console Lightsail pour ajouter jusqu'à 30 adresses IP sources à la fois. Pour ajouter jusqu'à 60 adresses IP à la fois, utilisez l'API Lightsail AWS CLI() AWS Command Line Interface ou un SDK. AWS Ce quota est appliqué séparément pour les règles IPv4 et IPv6. Par exemple, un pare-feu peut avoir 60 règles entrantes pour le trafic IPv4 et 60 règles entrantes pour le trafic IPv6. Nous vous recommandons de regrouper les adresses IP individuelles dans des plages d'adresses CIDR. Pour plus d'informations, veuillez consulter la section Spécifier les adresses IP sources de ce guide.

Vous pouvez également permettre à un client SSH de se connecter à votre instance et d'effectuer des tâches administratives sur le serveur. Pour cela, configurez une règle de pare-feu qui active le protocole TCP sur le port 22 uniquement à partir de l'adresse IP de l'ordinateur qui doit établir une connexion. Dans ce cas, vous ne souhaitez pas autoriser une adresse IP à établir une connexion SSH à votre instance, car cela pourrait entraîner un risque de sécurité sur votre instance.

Note

Les exemples de règles de pare-feu décrits dans cette section peuvent exister par défaut dans le pare-feu de votre instance. Pour de plus amples informations, veuillez consulter Règles de pare-feu par défaut plus loin dans ce guide.

S'il existe plusieurs règles pour un port spécifique, c'est la règle la plus permissive qui s'applique. Par exemple, si vous ajoutez une règle qui autorise l'accès au port TCP 22 (SSH) à partir de l'adresse IP 192.0.2.1. Vous ajoutez une autre règle qui permet l'accès au port TCP 22 de tout le monde. En conséquence, tout le monde a accès au port TCP 22.

Spécifier les protocoles

Un protocole est le format dans lequel les données sont transmises entre deux ordinateurs. Lightsail vous permet de spécifier les protocoles suivants dans une règle de pare-feu :

• Le protocole TCP (Transmission Control Protocol) est principalement utilisé pour établir et maintenir une connexion entre des clients et l'application en cours d'exécution sur une instance jusqu'à ce que l'échange de données soit terminé. Il s'agit d'un protocole largement utilisé, que vous pouvez souvent spécifier dans vos règles de pare-feu. Le protocole TCP garantit qu'aucune donnée transmise n'est manquante et que toutes les données envoyées arrivent au destinataire prévu. Il est idéal pour les applications réseau qui ont besoin d'une fiabilité élevée et pour lesquelles la durée de transmission est relativement moins critique, telles que la navigation web, les transactions financières et la messagerie texte. Ces cas d'utilisation perdront une valeur significative si une partie des données est perdue.

• Le protocole UDP (User Datagram Protocol) est principalement utilisé pour établir des connexions à faible latence et à tolérance de pertes entre les clients et l'application exécutée sur votre instance. Il est idéal pour les applications réseau dans lesquelles la latence perçue est critique, telles que les jeux, la voix et les communications vidéo. Ces cas d'utilisation peuvent subir certaines pertes de données sans que cela nuise à la qualité perçue.

• Leprotocole ICMP (Internet Control Message Protocol) est principalement utilisé pour diagnostiquer les problèmes de communication réseau ; par exemple, pour déterminer si les données atteignent leur destination prévue en temps opportun. Il est idéal pour l'utilitaire Ping, que vous pouvez utiliser pour tester la vitesse de la connexion entre l'ordinateur local et l'instance. Il indique le temps nécessaire pour que les données atteignent l'instance et reviennent sur l'ordinateur local.

  Note

  Lorsque vous ajoutez une règle ICMP au pare-feu IPv6 de votre instance à l'aide de la console Lightsail, la règle est automatiquement configurée pour utiliser ICMPv6. Pour plus d'informations, consultez Internet Control Message Protocol for IPv6 sur Wikipedia.

• Le paramètre Tous permet d'accepter le trafic de tous les protocoles sur votre instance. Spécifiez ce paramètre lorsque vous n'êtes pas sûr du protocole à spécifier. Cela inclut tous les protocoles Internet, pas seulement ceux spécifiés ci-dessus. Pour de plus amples informations, veuillez consulter les numéros des protocoles sur le site Internet de l'IANA (Internet Assigned Numbers Authority).

Spécification de ports

Similaires aux ports physiques de l'ordinateur, qui permettent à ce dernier de communiquer avec des périphériques tels que le clavier et la souris, les ports réseau servent de points de terminaison de communication Internet pour l'instance. Lorsqu'un ordinateur cherche à se connecter à l'instance, il expose un port pour établir la communication.

Les ports que vous pouvez spécifier dans une règle de pare-feu peuvent aller de 0 à 65535. Lorsque vous créez une règle de pare-feu pour permettre à un client d'établir une connexion avec votre instance, vous spécifiez le protocole qui sera utilisé (traité précédemment dans ce guide) et les numéros des ports par lesquels la connexion peut être établie. Vous pouvez également spécifier les adresses IP autorisées à établir une connexion à l'aide du protocole et du port ; ceci est traité dans la section suivante de ce guide.

Voici quelques-uns des ports couramment utilisés ainsi que les services qui les utilisent :

• Le transfert de données via le protocole FTP (File Transfer Protocol) utilise le port 20.

• Le contrôle des commandes via FTP utilise le port 21.

• Secure Shell (SSH) utilise le port 22.

• Le service de connexion à distance Telnet et les messages texte non chiffrés utilisent le port 23.

• Le routage des e-mails par SMTP (Simple Mail Transfer Protocol) utilise le port 25.

  Important

  Pour autoriser le protocole SMTP sur votre instance, vous devez également configurer le DNS inverse pour votre instance. Sinon, votre messagerie peut être limitée au port TCP 25. Pour plus d'informations, consultez Configuration du DNS inversé pour un serveur de messagerie sur votre instance Amazon Lightsail.

• Le service DNS (Domain Name System) utilise le port 53.

• Le protocole HTTP (Hypertext Transfer Protocol) utilisé par les navigateurs web pour se connecter aux sites Internet utilise le port 80.

• Le protocole POP3 (Post Office Protocol) utilisé par les clients de messagerie pour récupérer les e-mails à partir d'un serveur utilise le port 110.

• Le protocole NNTP (Network News Transfer Protocol) utilise le port 119.

• Le protocole NTP (Network Time Protocol) utilise le port 123.

• Le protocole IMAP (Internet Message Access Protocol) utilisé pour gérer le courrier numérique utilise le port 143.

• Le protocole SNMP (Simple Network Management Protocol) utilise le port 161.

• Le protocole HTTPS (HTTP Secure ou HTTP sur TLS/SSL) utilisé par les navigateurs web pour établir une connexion chiffrée avec les sites Internet utilise le port 443.

Pour de plus amples informations, veuillez consulter le registre des numéros de port des protocoles de transport et des noms de services sur le site Internet de l'IANA (Internet Assigned Numbers Authority).

Spécifier les types de protocole de couche d'application

Vous pouvez spécifier un type de protocole de couche d'application lorsque vous créez une règle de pare-feu. Il s'agit de préréglages qui spécifient pour vous le protocole et la plage de ports de la règle en fonction du service que vous souhaitez activer sur votre instance. De cette façon, vous n'êtes pas tenu de rechercher le protocole commun et les ports à utiliser pour des services tels que SSH, RDP, HTTP et autres. Vous pouvez simplement choisir ces types de protocole de couche d'application, et le protocole et le port sont spécifiés pour vous. Si vous préférez spécifier vos propres protocole et port, vous pouvez choisir le type de protocole de couche d'application Règle personnalisée, qui vous donne le contrôle de ces paramètres.

Note

Vous pouvez spécifier le type de protocole de couche application uniquement à l'aide de la console Lightsail. Vous ne pouvez pas spécifier le type de protocole de couche application à l'aide de l'API Lightsail AWS Command Line Interface ,AWS CLI() ou des SDK.

Les types de protocoles de couche application suivants sont disponibles dans la console Lightsail :

• Personnalisé – Choisissez cette option pour spécifier vos propres protocole et ports.

• Tous les protocoles – Choisissez cette option pour spécifier tous les protocoles et vos propres ports.

• Tous les TCP – Choisissez cette option pour utiliser le protocole TCP si vous ne savez pas quel port ouvrir. Cela active le protocole TCP sur tous les ports (0-65535).

• Tous les UDP – Choisissez cette option pour utiliser le protocole UDP si vous ne savez pas quel port ouvrir. Cela active le protocole UDP sur tous les ports (0-65535).

• Tous les ICMP – Choisissez cette option pour spécifier tous les types et codes ICMP.

• ICMP personnalisé – Choisissez cette option pour utiliser le protocole ICMP, et définir un type et un code ICMP. Pour de plus amples informations sur les types et les codes ICMP, veuillez consulter Messages de contrôle sur Wikipédia.

• DNS – Choisissez cette option lorsque vous souhaitez activer DNS sur votre instance. Cela active les protocoles TCP et UDP sur le port 53.

• HTTP – Choisissez cette option lorsque vous souhaitez permettre aux navigateurs web de se connecter à un site Internet hébergé sur votre instance. Cela active le protocole TCP sur le port 80.

• HTTPS – Choisissez cette option lorsque vous souhaitez permettre aux navigateurs web d'établir une connexion chiffrée à un site Internet hébergé sur votre instance. Cela active le protocole TCP sur le port 443.

• MySQL/Aurora – Choisissez cette option pour permettre à un client de se connecter à une base de données MySQL ou Aurora hébergée sur votre instance. Cela active le protocole TCP sur le port 3306.

• Oracle-RDS – Choisissez cette option pour permettre à un client de se connecter à une base de données Oracle ou RDS hébergée sur votre instance. Cela active le protocole TCP sur le port 1521.

• Ping (ICMP) – Choisissez cette option pour permettre à votre instance de répondre aux demandes à l'aide de l'utilitaire Ping. Sur le pare-feu IPv4, cela active le type ICMP 8 (écho) et le code -1 (tous les codes). Sur le pare-feu IPv6, cela active le type ICMP 129 (réponse écho) et le code 0.

• RDP – Choisissez cette option pour permettre à un client RDP de se connecter à votre instance. Cela active le protocole TCP sur le port 3389.

• SSH – Choisissez cette option pour permettre à un client SSH de se connecter à votre instance. Cela active le protocole TCP sur le port 22.

Spécifier les adresses IP sources

Par défaut, les règles de pare-feu autorisent toutes les adresses IP à se connecter à votre instance via le protocole et le port spécifiés. Ceci est idéal pour le trafic tel que celui des navigateurs web via HTTP et HTTPS. Toutefois, cela introduit un risque de sécurité pour le trafic tel que le trafic SSH et RDP, car vous ne souhaitez pas permettre à toutes les adresses IP de se connecter à votre instance à l'aide de ces applications. Pour cette raison, vous pouvez choisir de restreindre une règle de pare-feu à une adresse IPv4 ou IPv6 ou à une plage d'adresses IP.

• Pour le pare-feu IPv4 - Vous pouvez spécifier une adresse IPv4 unique (par exemple, 203.0.113.1) ou une plage d'adresses IPv4. Dans la console Lightsail, la plage peut être spécifiée à l'aide d'un tiret (par exemple, 192.0.2.0-192.0.2.255) ou en notation de bloc CIDR (par exemple, 192.0.2.0/24). Pour de plus amples informations sur la notation de bloc d'adresse CIDR, veuillez consulter l'article sur le routage inter-domaine sans classe sur Wikipédia.

• Pour le pare-feu IPv6 - Vous pouvez spécifier une seule adresse IPv6 (par exemple, 2001:0db8:85a3:0000:0000:8a2e:0370:7334) ou une plage d'adresses IPv6. Dans la console Lightsail, la plage IPv6 peut être spécifiée en utilisant uniquement la notation de bloc d'adresse CIDR (par exemple, 2001:db8::/32). Pour plus d'informations sur la notation de bloc d'adresse CIDR IPv6, consultez IPv6 CIDR blocks sur Wikipedia.

Règles de pare-feu Lightsail par défaut

Lorsque vous créez une nouvelle instance, ses pare-feu IPv4 et IPv6 sont préconfigurés avec l'ensemble suivant de règles par défaut qui autorisent un accès de base à votre instance. Les règles par défaut sont différentes selon le type d'instance que vous créez. Ces règles sont répertoriées en tant qu'application, protocole, port et adresses IP sources (par exemple, application - protocole - port - adresses IP sources).

AlmaLinux, Amazon Linux 2, Amazon Linux 2023, CentOS, Debian, FreeBSD, openSUSE et Ubuntu (systèmes d'exploitation de base)

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

WordPress, Fantôme, Joomla ! PrestaShop, et Drupal (applications CMS)

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

HTTPS - TCP - 443 - toutes les adresses IP

cPanel et WHM (application CMS)

SSH - TCP - 22 - toutes les adresses IP

DNS (UDP) - UDP - 53 - toutes les adresses IP

DNS (TCP) - TCP - 53 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

HTTPS - TCP - 443 - toutes les adresses IP

Personnalisée - TCP - 2078 - toutes les adresses IP

Personnalisée - TCP - 2083 - toutes les adresses IP

Personnalisée - TCP - 2087- toutes les adresses IP

Personnalisée - TCP - 2089 - toutes les adresses IP

LAMP, Django, Node.js GitLab, MEAN et Nginx (piles de développement)

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

HTTPS - TCP - 443 - toutes les adresses IP

Magento (application d'e-commerce)

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

HTTPS - TCP - 443 - toutes les adresses IP

Redmine (application de gestion de projet)

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

HTTPS - TCP - 443 - toutes les adresses IP

Plesk (pile d'hébergement)

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

HTTPS - TCP - 443 - toutes les adresses IP

Personnalisée - TCP - 53 - toutes les adresses IP

Personnalisée - UDP - 53 - toutes les adresses IP

Personnalisée - TCP - 8443 - toutes les adresses IP

Personnalisée - TCP - 8447 - toutes les adresses IP

Windows Server 2022, Windows Server 2019 et Windows Server 2016

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

RDP - TCP - 3389 - toutes les adresses IP

SQL Server Express 2022, SQL Server Express 2019 et SQL Server Express 2016

SSH - TCP - 22 - toutes les adresses IP

HTTP - TCP - 80 - toutes les adresses IP

RDP - TCP - 3389 - toutes les adresses IP