Instans firewall di Amazon Lightsail - Amazon Lightsail
Firewall LightsailBuat aturan firewallTentukan protokolMenentukan portTentukan jenis protokol lapisan aplikasiTentukan alamat IP sumberAturan firewall Lightsail defaultInformasi lebih lanjut tentang firewall

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Instans firewall di Amazon Lightsail

Firewall di konsol Amazon Lightsail bertindak sebagai firewall virtual yang mengontrol lalu lintas yang diizinkan untuk terhubung ke instans Anda melalui alamat IP publiknya. Setiap instance yang Anda buat di Lightsail memiliki dua firewall; satu untuk alamat IPv4 dan satu lagi untuk alamat IPv6. Setiap firewall berisi seperangkat aturan yang mem-filter lalu lintas yang masuk ke instans. Kedua firewall tersebut tidak saling tergantung satu sama lain; Anda harus mengkonfigurasi aturan masing-masing firewall secara terpisah untuk IPv4 dan IPv6. Edit firewall instans Anda, kapan saja, dengan menambahkan dan menghapus aturan untuk mengizinkan atau membatasi lalu lintas.

Daftar Isi

Firewall Lightsail

Setiap instance Lightsail memiliki dua firewall; satu untuk alamat IPv4 dan satu lagi untuk alamat IPv6. Semua lalu lintas internet masuk dan keluar dari instance Lightsail Anda melewati firewall-nya. Firewall dari instans tersebut mengontrol lalu lintas internet yang diizinkan mengalir ke instans Anda. Namun, mereka tidak mengontrol lalu lintas yang mengalir keluar — firewall memungkinkan semua lalu lintas keluar. Edit firewall instans Anda, kapan saja, dengan menambahkan dan menghapus aturan untuk mengizinkan atau membatasi lalu lintas masuk. Perlu diperhatikan bahwa kedua firewall tersebut tidak saling tergantung satu sama lain; Anda harus mengkonfigurasi aturan masing-masing firewall secara terpisah untuk IPv4 dan IPv6.

Aturan firewall selalu bersifat permisif; Anda tidak dapat menciptakan aturan yang menolak akses. Anda menambahkan aturan untuk firewall instans Anda untuk mengizinkan lalu lintas mencapai instans Anda. Ketika Anda menambahkan aturan untuk firewall instans Anda, Anda menentukan protokol yang akan digunakan, port yang akan dibuka, dan alamat IPv4 dan IPv6 yang diizinkan untuk connect ke instans Anda, seperti yang ditunjukkan dalam contoh berikut (untuk IPv4). Anda juga dapat menentukan jenis protokol lapisan aplikasi, yang merupakan pra-setel yang menentukan protokol dan rentang port untuk Anda berdasarkan layanan yang akan Anda gunakan pada instans Anda.

Firewall IPv4 di konsol Lightsail
penting

Aturan firewall hanya memengaruhi lalu lintas yang mengalir melalui alamat IP publik suatu instans. Ini tidak memengaruhi lalu lintas yang mengalir melalui alamat IP pribadi suatu instans, yang dapat berasal dari sumber daya Lightsail di akun Anda, dalam hal yang Wilayah AWS sama, atau sumber daya di cloud pribadi virtual peered (VPC), dalam hal yang sama. Wilayah AWS

Aturan firewall, dan parameternya yang dapat dikonfigurasi dijelaskan dalam beberapa bagian berikutnya dalam panduan ini.

Buat aturan firewall

Membuat aturan firewall untuk memungkinkan klien membuat koneksi dengan instans Anda, atau dengan aplikasi yang berjalan pada instans Anda. Misalnya, untuk mengaktifkan semua browser web untuk terhubung ke WordPress aplikasi pada instans Anda, Anda mengonfigurasi aturan firewall yang memungkinkan Transmission Control Protocol (TCP) melalui port 80 dari alamat IP apa pun. Jika aturan ini sudah dikonfigurasi pada firewall instans Anda, maka Anda dapat menghapusnya untuk memblokir browser web agar tidak dapat terhubung ke WordPress aplikasi pada instance Anda.

penting

Anda dapat menggunakan konsol Lightsail untuk menambahkan hingga 30 alamat IP sumber sekaligus. Untuk menambahkan hingga 60 alamat IP sekaligus, gunakan Lightsail API AWS Command Line Interface ,AWS CLI(), atau SDK. AWS Kuota ini diberlakukan secara terpisah untuk aturan IPv4 dan aturan IPv6. Misalnya, firewall dapat memiliki 60 aturan masuk untuk lalu lintas IPv4 dan 60 aturan masuk untuk lalu lintas IPv6. Kami menyarankan Anda mengkonsolidasikan alamat IP individual ke dalam rentang CIDR. Untuk informasi selengkapnya, lihat bagian Tentukan alamat IP sumber dari panduan ini.

Anda juga dapat memungkinkan klien SSH untuk connect ke instans Anda, untuk melakukan tugas-tugas administratif pada server, dengan mengkonfigurasi aturan firewall yang memungkinkan TCP melalui port 22 hanya dari alamat IP komputer yang perlu membuat koneksi saja. Dalam hal ini, Anda tidak ingin mengizinkan alamat IP apapun untuk membuat koneksi SSH ke instans Anda; karena dengan melakukan hal itu dapat menyebabkan risiko keamanan pada instans Anda.

catatan

Contoh aturan firewall yang dijelaskan di bagian ini mungkin ada di firewall instans Anda secara default. Untuk informasi selengkapnya, lihat Aturan firewall default nanti dalam panduan ini.

Jika ada lebih dari satu aturan untuk port tertentu, kami akan menerapkan aturan yang paling permisif. Sebagai contoh, jika Anda menambahkan aturan yang memungkinkan akses ke port TCP 22 (SSH) dari alamat IP 192.0.2.1. Maka, Anda menambahkan aturan lain yang memungkinkan akses ke TCP port 22 dari semua orang. Akibatnya, setiap orang memiliki akses ke port TCP 22.

Tentukan protokol

Protokol adalah format di mana data ditransmisikan antara dua komputer. Lightsail memungkinkan Anda untuk menentukan protokol berikut dalam aturan firewall:

  • Transmission Control Protocol (TCP) terutama digunakan untuk membangun dan memelihara koneksi antara klien dan aplikasi yang berjalan pada instance Anda, hingga pertukaran data selesai. Ini adalah protokol yang banyak digunakan, dan mungkin akan menjadi yang sering Anda tentukan dalam aturan firewall Anda. TCP menjamin bahwa tidak ada data yang dikirim yang akan hilang, dan bahwa semua data yang dikirim diterima oleh penerima dimaksudkan. Ia sangat ideal digunakan untuk aplikasi jaringan yang membutuhkan keandalan yang tinggi, dan untuk waktu transmisi yang relatif kurang kritis, seperti penjelajahan web, transaksi keuangan, dan olahpesan teks. Kasus penggunaan ini akan kehilangan nilai yang signifikan jika ada bagian data hilang.

  • Protokol Datagram Pengguna (UDP) terutama digunakan untuk membangun koneksi latensi rendah dan koneksi yang mentolerir-kehilangan antara klien dan aplikasi yang berjalan pada instans Anda. Ia sangat ideal untuk digunakan untuk aplikasi jaringan di mana latensi dirasakan sangat penting, seperti game, suara, dan komunikasi video. Kasus penggunaan ini dapat mengalami beberapa kehilangan data tanpa mempengaruhi kualitas yang dirasakan.

  • Protokol Pesan Kontrol Internet (ICMP) terutama digunakan untuk mendiagnosis masalah komunikasi jaringan, seperti untuk menentukan apakah data mencapai tujuan yang dimaksudkan pada waktu yang tepat atau tidak. Ia sangat ideal untuk digunakan dalam utilitas Ping, yang dapat Anda gunakan untuk menguji kecepatan koneksi antara komputer lokal Anda dan instans Anda. Ia melaporkan berapa lama waktu yang dibutuhkan data untuk mencapai instans Anda dan kembali ke komputer lokal Anda.

    catatan

    Bila Anda menambahkan aturan ICMP ke firewall IPv6 instans Anda dengan menggunakan konsol Lightsail, maka aturan akan secara otomatis dikonfigurasi untuk menggunakan ICMPv6. Untuk informasi selengkapnya, lihat Protokol Pesan Kontrol Internet untuk IPv6 di Wikipedia.

  • Semua digunakan untuk mengizinkan semua lalu lintas protokol yang mengalir ke instans Anda. Tentukan protokol ini ketika Anda tidak yakin protokol mana yang akan ditentukan. Ia mencakup semua protokol internet; bukan hanya yang ditentukan di atas. Untuk informasi selengkapnya, lihat Angka Protokol di situs web Internet Assigned Numbers Authority.

Menentukan port

Serupa dengan port fisik pada komputer Anda, yang memungkinkan komputer untuk berkomunikasi dengan periferal seperti keyboard dan mouse, port jaringan berfungsi sebagai titik akhir komunikasi internet untuk instans Anda. Ketika komputer berusaha untuk connect dengan instans Anda, ia akan membuka port untuk membangun komunikasi.

Port yang dapat Anda tentukan dalam aturan firewall dapat berkisar dari 0 sampai 65535. Ketika Anda membuat aturan firewall untuk memungkinkan klien untuk membuat koneksi dengan instans Anda, Anda harus menentukan protokol yang akan digunakan (dibahas sebelumnya dalam panduan ini), dan nomor port yang akan digunakan untuk membuat koneksi. Anda juga dapat menentukan alamat IP yang diizinkan untuk membuat koneksi dengan menggunakan protokol dan port; ini dibahas dalam bagian berikutnya dalam panduan ini.

Berikut adalah beberapa port yang umum digunakan bersama dengan layanan yang menggunakannya:

  • Transfer data melalui File Transfer Protocol (FTP) menggunakan port 20.

  • Kendali perintah melalui FTP menggunakan port 21.

  • Secure Shell (SSH) menggunakan port 22.

  • Layanan login jarak jauh dan pesan teks terenkripsi Telnet menggunakan port 23.

  • Perutean email Protokol Transfer Surat sederhana (SMTP) menggunakan port 25.

    penting

    Untuk mengaktifkan SMTP pada instans Anda, Anda juga harus mengonfigurasi DNS terbalik untuk instance Anda. Jika tidak, email Anda mungkin terbatas pada port TCP 25. Untuk informasi selengkapnya, lihat Mengonfigurasi DNS terbalik untuk server email di instans Amazon Lightsail Anda.

  • Layanan Sistem Nama Domain (DNS) menggunakan port 53.

  • Hypertext Transfer Protocol (HTTP) yang digunakan oleh peramban web untuk connect ke situs web menggunakan port 80.

  • Post Office Protocol (POP3) yang digunakan oleh klien email untuk mengambil email dari server menggunakan port 110.

  • Network News Transfer Protocol (NNTP) menggunakan port 119.

  • Network Time Protocol (NTP) menggunakan port 123.

  • Internet Message Access Protocol (IMAP) yang digunakan untuk mengelola email digital menggunakan port 143.

  • Simple Network Management Protocol (SNMP) menggunakan port 161.

  • HTTP Secure (HTTPS) HTTP melalui TLS/SSL yang digunakan oleh peramban web untuk membuat koneksi terenkripsi ke situs web menggunakan port 443.

Untuk informasi selengkapnya, lihat Registri Nomor Port Protokol Nama Layanan dan Transport di situs web Internet Assigned Numbers Authority.

Tentukan jenis protokol lapisan aplikasi

Anda dapat menentukan jenis protokol lapisan aplikasi saat membuat aturan firewall, yang merupakan pra-setel yang menentukan protokol dan rentang port aturan untuk Anda berdasarkan layanan yang ingin Anda aktifkan pada instans Anda. Dengan cara ini, Anda tidak perlu mencari protokol dan port umum yang akan digunakan untuk layanan seperti SSH, RDP, HTTP, dan lain-lain. Anda cukup memilih jenis protokol lapisan aplikasi, dan protokol dan port akan ditentukan untuk Anda. Jika Anda lebih memilih untuk menentukan protokol dan port Anda sendiri, maka Anda dapat memilih jenis protokol lapisan aplikasi Aturan kustom, yang memberikan Anda kontrol atas parameter-parameter tersebut.

catatan

Anda dapat menentukan jenis protokol lapisan aplikasi hanya dengan menggunakan konsol Lightsail. Anda tidak dapat menentukan jenis protokol lapisan aplikasi menggunakan Lightsail API AWS Command Line Interface ,AWS CLI(), atau SDK.

Jenis protokol lapisan aplikasi berikut tersedia di konsol Lightsail:

  • Kustom — Pilih opsi ini untuk menentukan protokol dan port Anda sendiri.

  • Semua protokol — Pilih opsi ini untuk menentukan semua protokol, dan menentukan port Anda sendiri.

  • Semua TCP — Pilih opsi ini untuk menggunakan protokol TCP tetapi Anda tidak yakin port mana yang akan dibuka. Hal ini akan memungkinkan TCP melalui semua port (0-65535).

  • Semua UDP — Pilih opsi ini untuk menggunakan protokol UDP tetapi Anda tidak yakin port mana yang akan dibuka. Hal ini akan memungkinkan UDP melalui semua port (0-65535).

  • Semua ICMP — Pilih opsi ini untuk menentukan semua jenis dan kode ICMP.

  • ICMP Kustom — Pilih opsi ini untuk menggunakan protokol ICMP dan menentukan jenis dan kode ICMP. Untuk informasi selengkapnya tentang jenis ICMP dan kode, lihat Pesan Kontrol di Wikipedia.

  • DNS — Pilih opsi ini bila Anda ingin mengaktifkan DNS pada instans Anda. Hal ini memungkinkan TCP dan UDP melalui port 53.

  • HTTP — Pilih opsi ini ketika Anda ingin mengaktifkan peramban web untuk connect ke situs web yang di-hosting di instans Anda. Hal ini memungkinkan TCP melalui port 80.

  • HTTPS — Pilih opsi ini ketika Anda ingin mengaktifkan peramban web untuk membuat koneksi terenkripsi ke situs web yang di-hosting di instans Anda. Hal ini memungkinkan TCP melalui port 443.

  • Aurora MySQL — Pilih opsi ini untuk memungkinkan klien untuk connect ke basis data MySQL atau Aurora yang di-host pada instans Anda. Hal ini memungkinkan TCP melalui port 3306.

  • Oracle-RD — Pilih opsi ini untuk memungkinkan klien untuk connect ke basis data Oracle atau RDS yang di-host pada instans Anda. Hal ini memungkinkan TCP melalui port 1521.

  • Ping (ICMP) — Pilih opsi ini untuk memungkinkan instans Anda merespons permintaan menggunakan utilitas Ping. Pada firewall IPv4, ini memungkinkan ICMP tipe 8 (echo) dan kode -1 (semua kode). Pada firewall IPv6, ini memungkinkan ICMP jenis 129 (echo reply) dan kode 0.

  • RDP — Pilih opsi ini untuk memungkinkan klien RDP untuk connect ke instans Anda. Hal ini memungkinkan TCP melalui port 3389.

  • SSH — Pilih opsi ini untuk memungkinkan klien SSH untuk connect ke instans Anda. Hal ini memungkinkan TCP melalui port 22.

Tentukan alamat IP sumber

Secara default, aturan firewall memungkinkan semua alamat IP untuk connect ke instans Anda melalui protokol dan port yang ditentukan. Ini sangat ideal untuk lalu lintas seperti web peramban melalui HTTP dan HTTPS. Namun, hal ini akan menimbulkan risiko keamanan untuk lalu lintas seperti SSH dan RDP, karena Anda tidak ingin mengizinkan semua alamat IP dapat connect ke instans Anda menggunakan aplikasi tersebut. Untuk alasan itu, maka Anda dapat memilih untuk membatasi aturan firewall ke alamat IPv4 atau IPv6 atau rentang alamat IP.

  • Untuk firewall IPv4 - Anda dapat menentukan alamat IPv4 tunggal (misalnya, 203.0.113.1), atau rentang alamat IPv4. Di konsol Lightsail, rentang dapat ditentukan menggunakan tanda hubung (misalnya, 192.0.2.0-192.0.2.255) atau dalam notasi blok CIDR (misalnya, 192.0.2.0/24). Untuk informasi selengkapnya tentang notasi blok CIDR, lihat Perutean Antar-Domain Nir-Kelas di Wikipedia.

  • Untuk firewall IPv6 - Anda dapat menentukan alamat IPv6 tunggal (misalnya, 2001:0db8:85a3:0000:0000:8a2e:0370:7334), atau rentang alamat IPv6. Di konsol Lightsail, rentang alamat IPv6 dapat ditentukan hanya menggunakan notasi blok CIDR (misalnya, 2001:db8::/32). Untuk informasi selengkapnya tentang notasi blok IPv6 CIDR, lihat Blok CIDR IPv6 di Wikipedia.

Aturan firewall Lightsail default

Ketika Anda membuat sebuah instans baru, firewall IPv4 dan IPv6 telah dikonfigurasi sebelumnya dengan serangkaian aturan default berikut yang memungkinkan akses basic ke instans Anda. Aturan default berbeda-beda tergantung pada jenis instans yang Anda buat. Aturan tersebut dicantumkan sebagai aplikasi, protokol, port, dan alamat IP sumber (misalnya, aplikasi - protokol - port - alamat IP sumber).

AlmaLinux, Amazon Linux 2, Amazon Linux 2023, CentOS, Debian, FreeBSD, openSUSE, dan Ubuntu (sistem operasi dasar)

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

WordPress, Hantu, Joomla! , PrestaShop, dan Drupal (aplikasi CMS)

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

HTTPS - TCP - 443 - semua alamat IP

cPanel & WHM (aplikasi CMS)

SSH - TCP - 22 - semua alamat IP

DNS (UDP) - UDP - 53 - semua alamat IP

DNS (TCP) - TCP - 53 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

HTTPS - TCP - 443 - semua alamat IP

Kustom - TCP - 2078 - semua alamat IP

Kustom - TCP - 2083 - semua alamat IP

Kustom - TCP - 2087 - semua alamat IP

Kustom - TCP - 2089 - semua alamat IP

LAMP, Django, Node.js, MEAN, GitLab, dan Nginx (tumpukan pengembangan)

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

HTTPS - TCP - 443 - semua alamat IP

Magento (aplikasi perdagangan elektronik)

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

HTTPS - TCP - 443 - semua alamat IP

Redmine (aplikasi pengelolaan proyek)

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

HTTPS - TCP - 443 - semua alamat IP

Plesk (tumpukan hosting)

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

HTTPS - TCP - 443 - semua alamat IP

Kustom - TCP - 53 - semua alamat IP

Kustom - UDP - 53 - semua alamat IP

Kustom - TCP - 8443 - semua alamat IP

Kustom - TCP - 8447 - semua alamat IP

Windows Server 2022, Windows Server 2019, dan Windows Server 2016

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

RDP - TCP - 3389 - semua alamat IP

SQL Server Express 2022, SQL Server Express 2019, dan SQL Server Express 2016

SSH - TCP - 22 - semua alamat IP

HTTP - TCP - 80 - semua alamat IP

RDP - TCP - 3389 - semua alamat IP

Informasi lebih lanjut tentang firewall

Berikut ini adalah beberapa artikel untuk membantu Anda mengelola firewall di Lightsail.