Dasar-dasar ACL jaringan Aturan ACL Jaringan ACL jaringan default ACL Jaringan kustom ACL jaringan khusus dan layanan lainnya AWS Ephemeral port Path MTU Discovery Bekerja dengan ACL jaringan Contoh: Kontrol akses ke instans dalam subnet Memecahkan masalah jangkauan

Kontrol lalu lintas ke subnet menggunakan ACL jaringan

Network Access Control List (ACL) memungkinkan atau menolak lalu lintas masuk atau keluar tertentu di tingkat subnet. Anda dapat menggunakan ACL jaringan default untuk VPC Anda, atau Anda dapat membuat ACL jaringan khusus untuk VPC Anda dengan aturan yang mirip dengan aturan untuk grup keamanan Anda untuk menambahkan lapisan keamanan tambahan ke VPC Anda.

Tidak ada biaya tambahan untuk menggunakan ACL jaringan.

Diagram berikut menunjukkan VPC dengan dua subnet. Setiap subnet memiliki jaringan ACL. Ketika lalu lintas memasuki VPC (misalnya, dari VPC yang diintip, koneksi VPN, atau internet), router mengirimkan lalu lintas ke tujuannya. Jaringan ACL A menentukan lalu lintas yang ditujukan untuk subnet 1 yang diizinkan masuk ke subnet 1, dan lalu lintas mana yang ditujukan untuk lokasi di luar subnet 1 diizinkan untuk meninggalkan subnet 1. Demikian pula, jaringan ACL B menentukan lalu lintas mana yang diizinkan masuk dan keluar dari subnet 2.

VPC dengan dua subnet dan ACL jaringan untuk setiap subnet.

Untuk informasi tentang perbedaan antara grup keamanan dan ACL jaringan, lihatMembandingkan grup keamanan dan ACL jaringan.

Daftar Isi

Dasar-dasar ACL jaringan
Aturan ACL Jaringan
ACL jaringan default
ACL Jaringan kustom
ACL jaringan khusus dan layanan lainnya AWS
Ephemeral port
Path MTU Discovery
Bekerja dengan ACL jaringan
Contoh: Kontrol akses ke instans dalam subnet
Memecahkan masalah jangkauan

Dasar-dasar ACL jaringan

Berikut ini adalah hal-hal dasar yang perlu Anda ketahui tentang ACL jaringan:

VPC Anda secara otomatis dilengkapi dengan ACL jaringan default yang dapat diubah. Secara default, mengizinkan semua lalu lintas IPv4 masuk dan keluar dan, jika mengizinkan, lalu lintas IPv6.
Anda dapat membuat ACL jaringan khusus dan mengaitkannya dengan subnet untuk mengizinkan atau menolak lalu lintas masuk atau keluar tertentu di tingkat subnet.
Setiap subnet di VPC Anda harus dihubungkan dengan sebuah ACL jaringan. Jika Anda tidak benar-benar menghubungkan subnet dengan ACL jaringan, subnet secara otomatis dihubungkan ke ACL jaringan default.
Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, subnet hanya dapat dihubungkan ke satu ACL jaringan saja dalam satu waktu. Ketika Anda menghubungkan ACL jaringan dengan sebuah subnet, hubungan sebelumnya akan dihapus.
ACL jaringan memiliki aturan masuk dan aturan keluar. Setiap aturan dapat mengizinkan atau menolak lalu lintas. Setiap aturan memiliki angka dari 1 hingga 32766. Kami mengevaluasi aturan secara berurutan, dimulai dengan aturan bernomor terendah, ketika memutuskan apakah mengizinkan atau menolak lalu lintas. Jika lalu lintas cocok dengan aturan, aturan diterapkan dan kami tidak mengevaluasi aturan tambahan apa pun. Kami menyarankan Anda memulai dengan membuat aturan secara bertahap (misalnya, kenaikan 10 atau 100) sehingga Anda dapat memasukkan aturan baru nanti, jika diperlukan.
Kami mengevaluasi aturan ACL jaringan ketika lalu lintas masuk dan meninggalkan subnet, bukan karena dirutekan dalam subnet.
NACL tidak memiliki kewarganegaraan, yang berarti bahwa informasi tentang lalu lintas yang dikirim atau diterima sebelumnya tidak disimpan. Jika, misalnya, Anda membuat aturan NACL untuk mengizinkan lalu lintas masuk tertentu ke subnet, respons terhadap lalu lintas tersebut tidak diizinkan secara otomatis. Ini berbeda dengan cara kerja kelompok keamanan. Kelompok keamanan bersifat stateful, yang berarti bahwa informasi tentang lalu lintas yang dikirim atau diterima sebelumnya disimpan. Jika, misalnya, grup keamanan mengizinkan lalu lintas masuk ke instans EC2, respons secara otomatis diizinkan terlepas dari aturan grup keamanan keluar.
ACL jaringan tidak dapat memblokir permintaan DNS ke atau dari Resolver Route 53 (juga dikenal sebagai alamat IP VPC+2 atau DNS). AmazonProvided Untuk memfilter permintaan DNS melalui Resolver Route 53, Anda dapat mengaktifkan Route 53 Resolver DNS Firewall di Panduan Pengembang Amazon Route 53.
ACL jaringan tidak dapat memblokir lalu lintas ke Layanan Metadata Instans (IMDS). Untuk mengelola akses ke IMDS, lihat Mengonfigurasi opsi metadata instans di Panduan Pengguna Amazon EC2.
ACL jaringan tidak memfilter lalu lintas yang ditujukan ke dan dari berikut ini:
- Layanan Nama Domain Amazon (DNS)
- Protokol Konfigurasi Host Dinamis (DHCP)
- Metadata instans Amazon EC2
- Titik akhir metadata tugas Amazon ECS
- Aktivasi lisensi untuk instance Windows
- Layanan Amazon Time Sync
- Alamat IP yang dicadangkan yang digunakan oleh router VPC default
Ada kuota (juga dikenal sebagai batas) untuk jumlah ACL jaringan per VPC dan jumlah aturan per ACL jaringan. Untuk informasi selengkapnya, lihat Kuota Amazon VPC.

Aturan ACL Jaringan

Anda dapat menambahkan atau menghapus aturan dari ACL jaringan default, atau membuat ACL jaringan tambahan untuk VPC Anda. Ketika Anda menambahkan atau menghapus aturan dari ACL jaringan, perubahan secara otomatis diterapkan ke subnet yang terhubung dengannya.

Berikut ini adalah bagian-bagian dari aturan ACL jaringan:

Nomor aturan. Aturan dievaluasi mulai dari aturan bernomor terendah. Setelah aturan cocok dengan lalu lintas, aturan tersebut langsung diterapkan terlepas dari apakah ada aturan bernomor lebih tinggi yang mungkin bertentangan dengan itu.
Jenis. Jenis lalu lintas; misalnya, SSH. Anda juga dapat menentukan semua lalu lintas atau rentang kustom.
Protokol. Anda dapat menetapkan protokol manapun yang memiliki nomor protokol standar. Untuk informasi selengkapnya, lihat Nomor Protokol. Jika Anda menetapkan ICMP sebagai protokol, Anda dapat menetapkan satu atau semua jenis dan kode ICMP.
Rentang port. Listening port atau rentang port untuk lalu lintas. Misalnya, 80 untuk lalu lintas HTTP.
Sumber. [Aturan masuk saja] Sumber lalu lintas (rentang CIDR).
Tujuan. [Aturan keluar saja] Tujuan untuk lalu lintas (rentang CIDR).
Izinkan/Tolak. Apakah mengizinkan atau menolak lalu lintas yang ditentukan.

Jika Anda menambahkan aturan menggunakan alat baris perintah atau API Amazon EC2, rentang CIDR secara otomatis diubah ke bentuk kanonisnya. Misalnya, jika Anda menetapkan 100.68.0.18/18 untuk rentang CIDR, kami membuat aturan dengan rentang CIDR 100.68.0.0/18.

ACL jaringan default

ACL jaringan default dikonfigurasi untuk mengizinkan semua lalu lintas mengalir masuk dan keluar dari subnet yang terhubung dengannya. Setiap jaringan ACL juga menyertakan aturan yang nomor aturannya adalah tanda bintang (*). Aturan ini memastikan bahwa jika sebuah paket tidak cocok dengan aturan bernomor lainnya, maka paket ditolak. Anda tidak dapat mengubah atau menghapus aturan ini.

Berikut ini adalah contoh ACL jaringan default untuk VPC yang hanya mendukung IPv4.

Masuk
Aturan #	Tipe	Protokol	Rentang port	Sumber	Izinkan/Tolak
100	Semua lalu lintas IPv4	Semua	Semua	0.0.0.0/0	IZINKAN
*	Semua lalu lintas IPv4	Semua	Semua	0.0.0.0/0	MENOLAK

Keluar
Aturan #	Tipe	Protokol	Rentang Port	Tujuan	Izinkan/Tolak
100	Semua lalu lintas IPv4	Semua	Semua	0.0.0.0/0	IZINKAN
*	Semua lalu lintas IPv4	Semua	Semua	0.0.0.0/0	MENOLAK

Jika Anda membuat VPC dengan blok CIDR IPv6 atau jika Anda mengaitkan blok CIDR IPv6 dengan VPC yang ada, kami secara otomatis menambahkan aturan yang mengizinkan semua lalu lintas IPv6 mengalir masuk dan keluar dari subnet Anda. Kami juga menambahkan aturan yang memiliki nomor aturan bertanda bintang yang memastikan bahwa paket ditolak jika tidak cocok dengan aturan bernomor lainnya. Anda tidak dapat mengubah atau menghapus aturan ini. Berikut ini adalah contoh ACL jaringan default untuk VPC yang mendukung IPv4 dan IPv6.

catatan

Jika Anda telah mengubah aturan masuk ACL jaringan default Anda, kami tidak secara otomatis menambahkan ALLOW aturan untuk lalu lintas IPv6 masuk saat Anda mengaitkan blok IPv6 dengan VPC Anda. Demikian pula, jika Anda telah memodifikasi aturan keluar, kami tidak secara otomatis menambahkan ALLOW aturan untuk lalu lintas IPv6 keluar.

Masuk
Aturan #	Tipe	Protokol	Rentang port	Sumber	Izinkan/Tolak
100	Semua lalu lintas IPv4	Semua	Semua	0.0.0.0/0	IZINKAN
101	Semua lalu lintas IPv6	Semua	Semua	::/0	IZINKAN
*	Semua Lalu lintas	Semua	Semua	0.0.0.0/0	MENOLAK
*	Semua lalu lintas IPv6	Semua	Semua	::/0	TOLAK

Keluar
Aturan #	Tipe	Protokol	Rentang Port	Tujuan	Izinkan/Tolak
100	Semua Lalu lintas	Semua	Semua	0.0.0.0/0	IZINKAN
101	Semua lalu lintas IPv6	Semua	Semua	::/0	IZINKAN
*	Semua Lalu lintas	Semua	Semua	0.0.0.0/0	MENOLAK
*	Semua lalu lintas IPv6	Semua	Semua	::/0	TOLAK

ACL Jaringan kustom

Contoh berikut menunjukkan ACL jaringan kustom untuk VPC yang mendukung IPv4 saja. Ini termasuk aturan masuk yang memungkinkan lalu lintas HTTP dan HTTPS (100 dan 110). Ada aturan keluar yang sesuai yang memungkinkan respons terhadap lalu lintas masuk (140), yang mencakup port fana 32768-65535. Untuk informasi lebih lanjut tentang cara memilih rentang port ephemeral yang sesuai, lihat Ephemeral port.

ACL jaringan juga mencakup aturan masuk yang mengizinkan lalu lintas SSH dan RDP ke subnet. Aturan keluar 120 memungkinkan respons untuk meninggalkan subnet.

ACL jaringan memiliki aturan keluar (100 dan 110) yang mengizinkan lalu lintas HTTP dan HTTPS keluar dari subnet. Ada aturan masuk yang sesuai yang memungkinkan respons terhadap lalu lintas keluar (140), yang mencakup port fana 32768-65535.

Setiap ACL jaringan mencakup aturan default yang nomor aturannya bertanda bintang. Aturan ini memastikan bahwa jika sebuah paket tidak cocok dengan aturan lainnya, maka paket ditolak. Anda tidak dapat mengubah atau menghapus aturan ini.

masuk
Aturan #	Tipe	Protokol	Rentang port	Sumber	Izinkan/Tolak	Komentar
100	HTTP	TCP	80	0.0.0.0/0	IZINKAN	Mengizinkan akses jalur masuk HTTP dari alamat IPv4 apa pun.
110	HTTPS	TCP	443	0.0.0.0/0	IZINKAN	Mengizinkan akses jalur masuk HTTPS dari alamat IPv4 apa pun.
120	SSH	TCP	22	192.0.2.0/24	IZINKAN	Mengizinkan lalu lintas SSH masuk dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).
130	RDP	TCP	3389	192.0.2.0/24	IZINKAN	Mengizinkan lalu lintas RDP masuk ke server web dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).
140	TCP Kustom	TCP	32768-65535	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas IPv4 kembali masuk dari internet (yaitu, untuk permintaan yang berasal dari subnet). Rentang ini hanya contoh.
*	Semua Lalu lintas	Semua	Semua	0.0.0.0/0	MENOLAK	Menolak semua lalu lintas IPv4 masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

Keluar
Aturan #	Tipe	Protokol	Rentang Port	Tujuan	Izinkan/Tolak	Komentar
100	HTTP	TCP	80	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas HTTP IPv4 keluar dari subnet ke internet.
110	HTTPS	TCP	443	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas HTTPS IPv4 keluar dari subnet ke internet.
120	SSH	TCP	1024-65535	192.0.2.0/24	IZINKAN	Memungkinkan lalu lintas SSH pengembalian keluar ke rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).
140	TCP Kustom	TCP	32768-65535	0.0.0.0/0	IZINKAN	Mengizinkan respon jalur keluar IPv4 untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet). Rentang ini adalah contoh saja.
*	Semua Lalu lintas	Semua	Semua	0.0.0.0/0	MENOLAK	Menolak semua lalu lintas IPv4 keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

Ketika paket datang ke subnet, kami mengevaluasinya terhadap aturan masuk ACL yang dikaitkan dengan subnet tersebut (mulai dari bagian atas daftar aturan, terus ke bawah). Berikut adalah pelaksanaan evaluasi jika paket ditujukan untuk port HTTPS (443). Paket tidak cocok aturan pertama dievaluasi (aturan 100). Ini tidak cocok dengan aturan kedua (110), yang mengizinkan paket ke subnet. Jika paket telah ditujukan untuk port 139 (NetBIOS), itu tidak cocok salah satu aturan, dan aturan * akhirnya menolak paket.

Anda mungkin ingin menambahkan aturan Tolak dalam situasi di mana Anda sah perlu membuka berbagai port, tetapi ada port tertentu dalam rentang tersebut yang ingin Anda tolak. Pastikan untuk menempatkan aturan Tolak sebelumnya dalam tabel daripada aturan yang mengizinkan berbagai lalu lintas port.

Anda menambahkan aturan Izinkan tergantung pada kasus penggunaan Anda. Misalnya, Anda dapat menambahkan aturan yang mengizinkan TCP keluar dan akses UDP pada port 53 untuk resolusi DNS. Untuk setiap aturan yang Anda tambahkan, pastikan bahwa ada aturan masuk atau keluar sesuai yang mengizinkan lalu lintas respon.

Contoh berikut menunjukkan ACL jaringan kustom untuk VPC yang memiliki blok CIDR IPv6 terkait. ACL jaringan ini mencakup aturan untuk semua lalu lintas HTTP dan HTTPS IPv6. Dalam hal ini, aturan baru dimasukkan di antara aturan yang ada untuk lalu lintas IPv4. Anda juga dapat menambahkan aturan sebagai aturan nomor yang lebih tinggi setelah aturan IPv4. Lalu lintas IPv4 dan IPv6 terpisah, dan karena itu tidak ada aturan untuk lalu lintas IPv4 berlaku untuk lalu lintas IPv6.

Masuk
Aturan #	Tipe	Protokol	Rentang port	Sumber	Izinkan/Tolak	Komentar
100	HTTP	TCP	80	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas HTTP masuk dari alamat IPv4 apa pun.
105	HTTP	TCP	80	::/0	IZINKAN	Mengizinkan lalu lintas HTTP masuk dari alamat IPv6 apa pun.
110	HTTPS	TCP	443	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas HTTP masuk dari alamat IPv4 apa pun.
115	HTTPS	TCP	443	::/0	IZINKAN	Mengizinkan akses HTTPS masuk dari alamat IPv6 apa pun.
120	SSH	TCP	22	192.0.2.0/24	IZINKAN	Mengizinkan lalu lintas SSH masuk dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).
130	RDP	TCP	3389	192.0.2.0/24	IZINKAN	Mengizinkan lalu lintas RDP masuk ke server web dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).
140	TCP Kustom	TCP	32768-65535	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas IPv4 kembali masuk dari internet (yaitu, untuk permintaan yang berasal dari subnet). Rentang ini hanya contoh.
145	TCP Kustom	TCP	32768-65535	::/0	IZINKAN	Mengizinkan lalu lintas IPv6 kembali masuk dari internet (yaitu, untuk permintaan yang berasal dari subnet). Rentang ini adalah contoh saja.
*	Semua Lalu lintas	Semua	Semua	0.0.0.0/0	MENOLAK	Menolak semua lalu lintas IPv4 masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).
*	Semua lalu lintas	Semua	Semua	::/0	TOLAK	Menolak semua lalu lintas IPv6 masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

Keluar
Aturan #	Tipe	Protokol	Rentang Port	Tujuan	Izinkan/Tolak	Komentar
100	HTTP	TCP	80	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas HTTP IPv4 keluar dari subnet ke internet.
105	HTTP	TCP	80	::/0	IZINKAN	Mengizinkan lalu lintas HTTP IPv6 keluar dari subnet ke internet.
110	HTTPS	TCP	443	0.0.0.0/0	IZINKAN	Mengizinkan lalu lintas HTTPS IPv4 keluar dari subnet ke internet.
115	HTTPS	TCP	443	::/0	IZINKAN	Mengizinkan lalu lintas HTTPS IPv6 keluar dari subnet ke internet.
140	TCP Kustom	TCP	32768-65535	0.0.0.0/0	IZINKAN	Mengizinkan respon jalur keluar IPv4 untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet). Rentang ini adalah contoh saja.
145	TCP Kustom	TCP	32768-65535	::/0	IZINKAN	Mengizinkan respon IPv6 keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet). Rentang ini adalah contoh saja.
*	Semua Lalu lintas	Semua	Semua	0.0.0.0/0	MENOLAK	Menolak semua lalu lintas IPv4 keluar belum ditangani oleh aturan sebelumnya (tidak dapat diubah).
*	Semua lalu lintas	Semua	Semua	::/0	TOLAK	Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

ACL jaringan khusus dan layanan lainnya AWS

Jika Anda membuat ACL jaringan kustom, perhatikan bagaimana hal itu dapat memengaruhi sumber daya yang Anda buat menggunakan AWS layanan lain.

Dengan Elastic Load Balancing, jika subnet untuk instans backend Anda memiliki ACL jaringan di mana Anda telah menambahkan aturan Tolak untuk semua lalu lintas dengan sumber 0.0.0.0/0 atau CIDR subnet, penyeimbang beban Anda tidak dapat melakukan pemeriksaan kondisi pada instans. Untuk informasi lebih lanjut tentang aturan ACL jaringan yang disarankan untuk penyeimbang beban dan instans backend Anda, lihat ACL rangkaian untuk penyeimbang beban dalam VPC di Panduan Pengguna untuk Classic Load Balancer.

Ephemeral port

Contoh ACL jaringan di bagian sebelumnya menggunakan rentang ephemeral port 32768-65535. Namun, Anda mungkin ingin menggunakan rentang yang berbeda untuk ACL jaringan Anda tergantung pada jenis klien yang Anda gunakan atau yang berkomunikasi dengan Anda.

Klien yang menginisiasi permintaan memilih rentang ephemeral port. Rentang bervariasi tergantung pada sistem operasi klien.

Banyak kernel Linux (termasuk kernel Amazon Linux) menggunakan port 32768-61000.
Permintaan yang berasal dari Elastic Load Balancing menggunakan port 1024-65535.
Sistem operasi Windows melalui Windows Server 2003 menggunakan port 1025-5000.
Windows Server 2008 dan versi yang lebih baru menggunakan port 49152-65535.
Gateway NAT menggunakan port 1024-65535.
AWS Lambda fungsi menggunakan port 1024-65535.

Sebagai contoh, jika permintaan datang ke server web di VPC Anda dari klien Windows 10 di internet, ACL jaringan Anda harus memiliki aturan keluar untuk mengaktifkan lalu lintas yang ditujukan untuk port 49152-65535.

Jika instans dalam VPC klien menginisiasi permintaan, ACL jaringan Anda harus memiliki aturan masuk untuk mengaktifkan lalu lintas yang ditujukan untuk ephemeral port khusus untuk jenis instans ini (Amazon Linux, Windows Server 2008, dan sebagainya).

Dalam prakteknya, untuk mencakup berbagai jenis klien yang mungkin menginisiasi lalu lintas untuk ke instans yang menghadap publik di VPC Anda, Anda dapat membuka ephemeral port 1024-65535. Namun, Anda juga dapat menambahkan aturan ke ACL untuk menolak lalu lintas pada setiap port yang berbahaya dalam rentang tersebut. Pastikan bahwa Anda menempatkan aturan Tolak sebelumnya dalam tabel daripada aturan Izinkan yang membuka berbagai macam ephemeral port.

Path MTU Discovery

Path MTU Discovery digunakan untuk menentukan jalur MTU antara dua perangkat. Jalur MTU adalah ukuran paket maksimum yang didukung pada jalur antara host asal dan host penerima.

Untuk IPv4, jika suatu host mengirimkan paket yang lebih besar daripada MTU host penerima atau yang lebih besar daripada MTU perangkat di sepanjang jalur, host atau perangkat penerima menjatuhkan paket, lalu mengembalikan pesan ICMP berikut: Destination Unreachable: Fragmentation Needed and Don't Fragment was Set (Tipe 3, Kode 4). Ini menginstruksikan host transmisi untuk membagi muatan menjadi beberapa paket yang lebih kecil, dan kemudian mentrasmisikannya kembali.

Protokol IPv6 tidak mendukung fragmentasi dalam jaringan. Jika suatu host mengirimkan paket yang lebih besar daripada MTU host penerima atau yang lebih besar daripada MTU perangkat di sepanjang jalur, host atau perangkat penerima menjatuhkan paket, lalu mengembalikan pesan ICMP berikut: ICMPv6 Packet Too Big (PTB) (Tipe 2). Ini menginstruksikan host transmisi untuk membagi muatan menjadi beberapa paket yang lebih kecil, dan kemudian mentrasmisikannya kembali.

Jika unit transmisi maksimum (MTU) antar host di subnet Anda berbeda, atau instans Anda berkomunikasi dengan rekan-rekan melalui internet, Anda harus menambahkan aturan ACL jaringan berikut, baik masuk maupun keluar. Hal ini memastikan bahwa Path MTU Discovery dapat berfungsi dengan benar dan mencegah kehilangan paket. Pilih Aturan ICMP Kustom untuk jenis tersebut dan Tujuan yang Tidak Dapat Dihubungi, fragmentasi yang diperlukan, dan bendera DF yang ditetapkan untuk rentang port tersebut (tipe 3, kode 4). Jika Anda menggunakan traceroute, tambahkan juga aturan berikut: pilih Aturan ICMP Kustom untuk jenis ini dan Waktu Terlampaui, Transit kedaluwarsa TTL untuk rentang port ini (tipe 11, kode 0). Untuk informasi selengkapnya, lihat Unit transmisi maksimum jaringan (MTU) untuk instans EC2 Anda di Panduan Pengguna Amazon EC2.

Bekerja dengan ACL jaringan

Tugas-tugas berikut menunjukkan kepada Anda tentang cara bekerja dengan ACL jaringan menggunakan konsol Amazon VPC.

Tugas

Menentukan pengaitan ACL jaringan
Membuat ACL jaringan
Menambah dan menghapus aturan
Mengaitkan subnet dengan ACL jaringan
Melepaskan ACL jaringan dari subnet
Mengubah ACL jaringan subnet
Menghapus ACL jaringan
gambaran umum API dan perintah
Kelola ACL jaringan menggunakan Firewall Manager

Menentukan pengaitan ACL jaringan

Anda dapat menggunakan konsol Amazon VPC untuk menentukan ACL jaringan yang terkait dengan subnet. ACL jaringan dapat dikaitkan dengan lebih dari satu subnet, sehingga Anda juga dapat menentukan subnet yang terkait dengan ACL jaringan.

Untuk menentukan ACL jaringan mana yang dikaitkan dengan subnet

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih Subnet, lalu pilih subnet.

ACL jaringan yang terkait dengan subnet dicantumkan dalam tab ACL Jaringan, bersama dengan aturan ACL jaringan.

Untuk menentukan subnet mana yang dikaitkan dengan ACL jaringan

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih ACL Jaringan. Kolom Dikaitkan Dengan menunjukkan jumlah subnet terkait untuk setiap ACL jaringan.
Pilih ACL jaringan.
Di panel rincian, pilih Pengaitan Subnet untuk menampilkan subnet yang terkait dengan ACL jaringan.

Membuat ACL jaringan

Anda dapat membuat ACL jaringan kustom untuk VPC Anda. Secara default, ACL jaringan yang Anda buat memblokir semua lalu lintas masuk dan keluar sampai Anda menambahkan aturan, dan tidak terkait dengan subnet sampai Anda secara eksplisit mengaitkannya dengan satu subnet.

Untuk membuat ACL jaringan

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih ACL Jaringan.
Pilih Buat ACL Jaringan.
Di kotak dialog Buat ACL Jaringan, Anda dapat memberi nama ACL jaringan Anda, dan memilih ID VPC Anda dari daftar VPC. Kemudian, pilih Ya, Buat.

Menambah dan menghapus aturan

Ketika Anda menambahkan atau menghapus aturan dari ACL, subnet yang terkait dengan ACL tunduk pada perubahan tersebut. Anda tidak harus mengakhiri dan meluncurkan kembali instans di subnet. Perubahan berlaku setelah beberapa saat.

penting

Berhati-hatilah jika Anda menambahkan dan menghapus aturan secara bersamaan. Aturan ACL jaringan menentukan jenis lalu lintas jaringan mana yang dapat masuk atau keluar dari VPC Anda. Jika Anda menghapus aturan masuk atau keluar dan kemudian menambahkan entri baru lebih dari yang diizinkan di Kuota Amazon VPC, entri yang dipilih untuk dihapus akan dihapus dan entri baru tidak akan ditambahkan. Hal ini dapat menyebabkan masalah konektivitas yang tidak terduga dan secara tidak sengaja mencegah akses ke dan dari VPC Anda.

Jika Anda menggunakan API Amazon EC2 atau alat baris perintah, Anda tidak dapat mengubah aturan. Anda hanya dapat menambahkan dan menghapus aturan. Jika Anda menggunakan konsol Amazon VPC, Anda dapat mengubah entri untuk aturan yang ada. Konsol tersebut menghapus aturan yang ada dan menambahkan aturan baru untuk Anda. Jika Anda perlu mengubah urutan aturan di ACL, Anda harus menambahkan aturan baru dengan nomor aturan baru, dan kemudian menghapus aturan semula.

Untuk menambahkan aturan ke ACL jaringan

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih ACL Jaringan.
Di panel rincian, pilih tab Aturan Masuk atau Aturan Keluar, tergantung pada jenis aturan yang Anda perlu tambahkan, dan kemudian pilih Edit.
Di Aturan #, masukkan nomor aturan (misalnya, 100). Nomor aturan tidak boleh yang sudah digunakan dalam ACL jaringan. Kami memproses aturan secara berurutan, dimulai dengan angka terendah.

Kami sarankan Anda membiarkan adanya selisih lebar di antara nomor aturan (seperti 100, 200, 300), daripada menggunakan nomor berurutan (101, 102, 103). Hal ini memudahkan penambahan aturan baru tanpa harus mengatur ulang nomor aturan yang ada.
Pilih aturan dari daftar Jenis. Misalnya, untuk menambahkan aturan untuk HTTP, pilih HTTP. Untuk menambahkan aturan untuk mengizinkan semua lalu lintas TCP, pilih Semua TCP. Untuk beberapa opsi ini (misalnya, HTTP), kami mengisikan port untuk Anda. Untuk menggunakan protokol yang tidak terdaftar, pilih Aturan Protokol Kustom.
(Opsional) Jika Anda membuat aturan protokol kustom, pilih nomor dan nama protokol dari daftar Protokol. Untuk informasi selengkapnya, lihat Daftar Nomor Protokol IANA.
(Opsional) Jika protokol yang Anda pilih memerlukan nomor port, masukkan nomor port atau rentang port yang dipisahkan oleh tanda hubung (misalnya, 49152-65535).
Di bidang Sumber atau Tujuan (tergantung pada apakah ini adalah aturan masuk atau keluar), masukkan rentang CIDR yang terhadapnya berlaku aturan tersebut.
Dari daftar Izinkan/Tolak, pilih IZINKAN untuk mengizinkan lalu lintas yang ditentukan atau TOLAK untuk menolak lalu lintas yang ditentukan.
(Opsional) Untuk menambahkan aturan lain, pilih Tambahkan aturan lain, dan ulangi langkah 4 sampai 9 sesuai kebutuhan.
Jika Anda sudah selesai, pilih Simpan.

Untuk menghapus aturan dari ACL jaringan

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.
Di panel rincian, pilih tab Aturan Masuk atau Aturan Keluar, kemudian pilih Edit. Pilih Hapus untuk aturan yang ingin Anda hapus, kemudian pilih Simpan.

Mengaitkan subnet dengan ACL jaringan

Untuk menerapkan aturan ACL jaringan untuk subnet tertentu, Anda harus mengaitkan subnet tersebut dengan ACL jaringan. Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, suatu subnet dapat dikaitkan dengan hanya satu ACL jaringan. Setiap subnet yang tidak terkait dengan ACL tertentu dikaitkan dengan ACL jaringan default secara default.

Untuk mengaitkan subnet dengan ACL jaringan

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.
Di panel rincian, pada tab Pengaitan Subnet, pilih Edit. Pilih kotak centang Pengaitan untuk mengaitkan subnet dengan ACL jaringan, dan kemudian pilih Simpan.

Melepaskan ACL jaringan dari subnet

Anda dapat melepaskan ACL jaringan dari subnet. Ketika subnet telah dilepaskan dari ACL jaringan kustom, maka subnet akan secara otomatis terkait dengan ACL jaringan default.

Untuk melepaskan subnet dari ACL jaringan

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.
Di panel rincian, pilih tab Pengaitan Subnet.
Pilih Edit, kemudian batalkan pilihan kotak centang Pengaitan untuk subnet tersebut. Pilih Simpan.

Mengubah ACL jaringan subnet

Anda dapat mengubah ACL jaringan yang terkait dengan suatu subnet. Misalnya, ketika Anda membuat suatu subnet, awalnya subnet tersebut dikaitkan dengan ACL jaringan default. Anda mungkin ingin mengaitkannya dengan ACL jaringan kustom yang telah Anda buat.

Setelah mengubah ACL jaringan subnet, Anda tidak harus mengakhiri dan meluncurkan kembali instans di subnet tersebut. Perubahan berlaku setelah beberapa saat.

Untuk mengubah pengaitan ACL jaringan subnet

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih Subnet, lalu pilih subnet.
Pilih tab ACL Jaringan, lalu pilih Edit.
Dari daftar Ubah ke, pilih ACL jaringan yang akan dikaitkan dengan subnet tersebut, dan kemudian pilih Simpan.

Menghapus ACL jaringan

Anda dapat menghapus ACL jaringan hanya jika tidak ada subnet yang terkait dengannya. Anda tidak dapat menghapus ACL jaringan default.

Untuk menghapus ACL jaringan

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih ACL Jaringan.
Pilih ACL jaringan, lalu pilih Hapus.
Di kotak dialog konfirmasi, pilih Ya, Hapus.

gambaran umum API dan perintah

Anda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untuk informasi selengkapnya tentang antarmuka baris perintah dan daftar API yang tersedia, lihat Bekerja dengan Amazon VPC.

Membuat ACL jaringan untuk VPC anda

create-network-acl (AWS CLI)
New-EC2NetworkAcl (AWS Tools for Windows PowerShell)

Menjelaskan satu atau beberapa ACL jaringan Anda

describe-network-acls (AWS CLI)
Get-EC2NetworkAcl (AWS Tools for Windows PowerShell)

Menambahkan aturan ke ACL jaringan

create-network-acl-entry (AWS CLI)
New-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)

Menghapus aturan dari ACL jaringan

delete-network-acl-entry (AWS CLI)
Remove-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)

Mengganti aturan yang ada di ACL jaringan

mengganti-acl jaringan (AWS CLI)
Set-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)

Mengganti pengaitan ACL jaringan

replace-network-acl-association (AWS CLI)
Set-EC2NetworkAclAssociation (AWS Tools for Windows PowerShell)

Menghapus ACL jaringan

delete-network-acl (AWS CLI)
Remove-EC2NetworkAcl (AWS Tools for Windows PowerShell)

Kelola ACL jaringan menggunakan Firewall Manager

AWS Firewall Manager menyederhanakan administrasi ACL jaringan dan tugas pemeliharaan di beberapa akun dan subnet. Anda dapat menggunakan Firewall Manager untuk memantau akun dan subnet di organisasi Anda dan untuk secara otomatis menerapkan konfigurasi ACL jaringan yang telah Anda tetapkan. Firewall Manager sangat berguna ketika Anda ingin melindungi seluruh organisasi Anda, atau jika Anda sering menambahkan subnet baru yang ingin Anda lindungi secara otomatis dari akun administrator pusat.

Dengan kebijakan ACL jaringan Manajer Firewall, menggunakan satu akun administrator, Anda dapat mengonfigurasi, memantau, dan mengelola kumpulan aturan minimum yang ingin Anda tetapkan di ACL jaringan yang Anda gunakan di seluruh organisasi. Anda menentukan akun dan subnet di organisasi Anda yang berada dalam cakupan kebijakan Firewall Manager. Firewall Manager melaporkan status kepatuhan ACL jaringan untuk subnet dalam lingkup, dan Anda dapat mengonfigurasi Firewall Manager untuk secara otomatis memulihkan ACL jaringan yang tidak sesuai, agar sesuai.

Untuk mempelajari selengkapnya tentang menggunakan Firewall Manager untuk mengelola ACL jaringan Anda, lihat sumber daya berikut di panduan AWS Firewall Manager pengembang:

Contoh: Kontrol akses ke instans dalam subnet

Dalam contoh ini, instans di subnet Anda dapat berkomunikasi satu sama lain, dan dapat diakses dari komputer jarak jauh yang terpercaya. Komputer jarak jauh tersebut mungkin berupa komputer di jaringan lokal Anda atau instans di subnet atau VPC yang berbeda. Anda menggunakannya untuk terhubung ke instans Anda untuk melakukan tugas-tugas administratif. Aturan grup keamanan dan aturan ACL jaringan Anda mengizinkan akses dari alamat IP komputer jarak jauh Anda (172.31.1.2/32). Semua lalu lintas lain dari internet atau jaringan lain ditolak. Skenario ini memberi Anda fleksibilitas untuk mengubah grup keamanan atau aturan grup keamanan untuk instans Anda, dan membuat ACL jaringan sebagai lapisan backup untuk pertahanan.

Berikut ini adalah contoh grup keamanan yang terkait dengan instans. Grup keamanan bersifat stateful. Oleh karena itu Anda tidak memerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.

Ke dalam
Tipe protokol	Protokol	Rentang port	Sumber	Komentar
Semua lalu lintas	Semua	Semua	sg-1234567890abcdef0	Semua instans yang terkait dengan grup keamanan ini dapat berkomunikasi satu sama lain.
SSH	TCP	22	172.31.1.2/32	Mengizinkan akses SSH masuk dari komputer jarak jauh Anda.

Ke luar
Jenis protokol	Protokol	Rentang Port	Tujuan	Komentar
Semua lalu lintas	Semua	Semua	sg-1234567890abcdef0	Semua instans yang terkait dengan grup keamanan ini dapat berkomunikasi satu sama lain.

Berikut ini adalah contoh ACL jaringan untuk mengaitkan dengan subnet untuk instans. Aturan ACL jaringan berlaku untuk semua instans di subnet. ACL jaringan bersifat stateless. Oleh karena itu, Anda memerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.

Masuk
Aturan #	Tipe	Protokol	Rentang port	Sumber	Izinkan/Tolak	Komentar
100	SSH	TCP	22	172.31.1.2/32	IZINKAN	Mengizinkan lalu lintas masuk dari komputer jarak jauh.
*	Semua lalu lintas	Semua	Semua	0.0.0.0/0	TOLAK	Menolak semua lalu lintas masuk lainnya.

Keluar
Aturan #	Tipe	Protokol	Rentang Port	Tujuan	Izinkan/Tolak	Komentar
100	TCP Kustom	TCP	1024-65535	172.31.1.2/32	IZINKAN	Mengizinkan respon keluar ke komputer jarak jauh.
*	Semua lalu lintas	Semua	Semua	0.0.0.0/0	TOLAK	Menolak semua lalu lintas keluar lainnya.

Jika Anda secara tidak sengaja membuat aturan grup keamanan Anda terlalu permisif, ACL jaringan dalam hal ini terus mengizinkan akses hanya dari alamat IP yang ditentukan. Misalnya, grup keamanan berikut berisi aturan yang memungkinkan akses SSH masuk dari alamat IP apa pun. Namun, jika Anda mengaitkan grup keamanan ini dengan instans di subnet yang menggunakan ACL jaringan, hanya instans lain dalam subnet dan komputer jarak jauh Anda yang dapat mengakses instans ini, karena aturan ACL jaringan menolak lalu lintas masuk lain ke subnet tersebut.

Ke dalam
Tipe	Protokol	Rentang port	Sumber	Komentar
Semua lalu lintas	Semua	Semua	sg-1234567890abcdef0	Semua instans yang terkait dengan grup keamanan ini dapat berkomunikasi satu sama lain.
SSH	TCP	22	0.0.0.0/0	Mengizinkan akses SSH dari alamat IP mana pun.

Ke luar
Tipe	Protokol	Rentang Port	Tujuan	Komentar
Semua lalu lintas	Semua	Semua	0.0.0.0/0	Mengizinkan semua lalu lintas keluar.

Memecahkan masalah jangkauan

Reachability Analyzer adalah alat analisis konfigurasi statis. Gunakan Reachability Analyzer untuk menganalisis dan men-debug jangkauan jaringan antara dua sumber daya di VPC Anda. Reachability Analyzer hop-by-hop menghasilkan rincian jalur virtual antara sumber daya ini ketika mereka dapat dijangkau, dan mengidentifikasi komponen pemblokiran sebaliknya. Misalnya, dapat mengidentifikasi aturan ACL jaringan yang hilang atau salah konfigurasi.

Untuk informasi selengkapnya, lihat Panduan Reachability Analyzer.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Cara menggunakan grup keamanan

Ketangguhan