Gestione delle porte firewall per i computer virtuali Lightsail for Research

Un firewall in Amazon Lightsail for Research controlla il traffico autorizzato a connettersi al tuo computer virtuale. Aggiungi regole al firewall del tuo computer virtuale che specificano il protocollo, le porte e la fonte IPv4 o IPv6 gli indirizzi a cui è consentito connettersi. Le regole dei gruppi di sicurezza sono sempre permissive; non è possibile creare regole che negano l'accesso. Puoi aggiungere regole al firewall del computer virtuale per consentire al traffico di raggiungere il computer virtuale. Ogni computer virtuale dispone di due firewall, uno per IPv4 gli indirizzi e l'altro per IPv6 gli indirizzi. I firewall sono indipendenti l'uno dall'altro e contengono un set preconfigurato di regole che filtrano il traffico in entrata nell'istanza.

Protocolli

Un protocollo è il formato in cui i dati vengono trasmessi tra due computer. Puoi specificare i seguenti protocolli in una regola del firewall:

• Il protocollo TCP (Transmission Contact Protocol) viene utilizzato principalmente per stabilire e mantenere una connessione tra i client e l'applicazione in esecuzione sul computer virtuale. Si tratta di un protocollo ampiamente utilizzato e che è possibile specificare spesso nelle regole del firewall.

• UDP (User Datagram Protocol) viene utilizzato principalmente per stabilire connessioni a bassa latenza e tolleranza delle perdite tra i client e l'applicazione in esecuzione sul computer virtuale. È ideale per applicazioni di rete in cui la latenza percepita è fondamentale, come giochi, voce e comunicazioni video.

• Internet Control Message Protocol (ICMP) viene utilizzato principalmente per diagnosticare problemi di comunicazione di rete, ad esempio per determinare se i dati raggiungono la destinazione desiderata in modo tempestivo. È ideale per l'utilità Ping, che è possibile utilizzare per testare la velocità della connessione tra il computer locale e quello virtuale. Riporta quanto tempo impiegano i dati per raggiungere il computer virtuale e tornare al computer locale.

• Tutto viene utilizzato per consentire a tutto il traffico di protocollo di fluire nel tuo computer virtuale. Specificare questo protocollo quando non si è sicuri di quale specificare. Questo include tutti i protocolli Internet, non solo quelli specificati qui. Per ulteriori informazioni, consulta Numeri di protocollo nel sito Web Internet Assigned Numbers Authority.

Porte

Analogamente alle porte fisiche del computer, che consentono al computer di comunicare con periferiche quali tastiera e mouse, le porte firewall fungono da endpoint di comunicazione Internet per il computer virtuale. Quando un client cerca di connettersi con il computer virtuale, esporrà una porta per stabilire la comunicazione.

Le porte che è possibile specificare in una regola firewall possono variare da 0 a 65535. Quando si crea una regola firewall per consentire a un client di stabilire una connessione con il computer virtuale, si specifica il protocollo da utilizzare. È inoltre possibile specificare i numeri di porta tramite i quali è possibile stabilire la connessione e gli indirizzi IP autorizzati a stabilire una connessione.

Le seguenti porte sono aperte per impostazione predefinita per i computer virtuali appena creati.

• TCP

  • 22 - Utilizzata per Secure Shell (SSH).

  • 80 - Utilizzata per Hypertext Transfer Protocol (HTTP).

  • 443 - Utilizzata per Hypertext Transfer Protocol Secure (HTTPS).

  • 8443 - Utilizzata per Hypertext Transfer Protocol Secure (HTTPS).

Perché aprire e chiudere le porte

Quando apri le porte, consenti a un client di stabilire una connessione con il tuo computer virtuale. Quando chiudi le porte, blocchi le connessioni al computer virtuale. Ad esempio, per consentire a un client SSH di connettersi al computer virtuale, è necessario configurare una regola firewall che consenta il protocollo TCP sulla porta 22 solo a partire dall'indirizzo IP del computer che deve stabilire una connessione. In questo caso, non vuoi consentire a nessun indirizzo IP di stabilire una connessione SSH al tuo computer virtuale. Tutto ciò potrebbe comportare un rischio per la sicurezza. Se questa regola è già configurata sul firewall dell'istanza, puoi eliminarla per impedire al client SSH di connettersi al tuo computer virtuale.

Le seguenti procedure mostrano come raggiungere le porte attualmente aperte sul computer virtuale, aprirne delle nuove e chiuderne altre.

Completa i prerequisiti

Completare i seguenti prerequisiti prima di iniziare.

• Crea un computer virtuale in Lightsail for Research. Per ulteriori informazioni, consulta Crea un computer virtuale Lightsail for Research.

• Scarica e installa il file AWS Command Line Interface ()AWS CLI. Per ulteriori informazioni, consulta Installazione o aggiornamento della versione più recente della  AWS CLI nella Guida per l'utente di AWS Command Line Interface per la versione 2.

• Configura il AWS CLI per accedere al tuo Account AWS. Per ulteriori informazioni, consulta Nozioni di base sulla configurazione nella Guida per l'utente di AWS Command Line Interface per la versione 2.

Ottieni gli stati delle porte per un computer virtuale

Completa la procedura seguente per ottenere gli stati delle porte per un computer virtuale. Questa procedura utilizza il get-instance-port-states AWS CLI comando per ottenere gli stati delle porte del firewall per uno specifico computer virtuale Lightsail for Research, gli indirizzi IP autorizzati a connettersi al computer virtuale tramite le porte e il protocollo. Per ulteriori informazioni, consulta la sezione get-instance-port-states nella Documentazione di riferimento della AWS CLI .

1. Questo passaggio viene determinato dal sistema operativo del computer locale.

   • Se il computer locale utilizza un sistema operativo Windows, apri una finestra del prompt dei comandi.

   • Se il computer locale utilizza un sistema operativo basato su Linux o UNIX (incluso macOS), apri una finestra di Terminale.

2. Inserisci il comando seguente per ottenere gli stati delle porte del firewall e gli indirizzi IP e i protocolli consentiti. Nel comando, sostituisci REGION con il codice della regione AWS in cui è stato creato il computer virtuale, ad esempio us-east-2. Sostituisci NAME con il nome del tuo computer virtuale.

   aws lightsail get-instance-port-states --region REGION --instance-name NAME

   Esempio

   aws lightsail get-instance-port-states --region us-east-2 --instance-name MyUbuntu

   La risposta mostrerà le porte e i protocolli aperti e gli intervalli IP CIDR a cui il computer virtuale può connettersi.

   

   Per informazioni su come aprire le porte, vai alla sezione successiva.

Aprire le porte per un computer virtuale

Completa la procedura seguente per aprire le porte di un computer virtuale. Questa procedura utilizza il comando. open-instance-public-ports AWS CLI Aprire le porte del firewall per consentire la creazione di connessioni da un indirizzo IP o da un intervallo di indirizzi IP attendibili. Ad esempio, per consentire l'indirizzo IP 192.0.2.44, specifica 192.0.2.44 o 192.0.2.44/32. Per consentire l'intervallo di indirizzi IP da 192.0.2.0 a 192.0.2.255, specifica 192.0.2.0/24. Per ulteriori informazioni, consulta la sezione open-instance-public-ports nella Documentazione di riferimento della AWS CLI .

1. Questo passaggio viene determinato dal sistema operativo del computer locale.

   • Se il computer locale utilizza un sistema operativo Windows, apri una finestra del prompt dei comandi.

   • Se il computer locale utilizza un sistema operativo basato su Linux o UNIX (incluso macOS), apri una finestra di Terminale.

2. Inserisci il comando seguente per aprire le porte.

   Nei comandi seguenti, sostituisci i seguenti elementi:

   • Sostituisci REGION con il codice della AWS regione in cui è stato creato il computer virtuale, ad esempious-east-2.

   • Sostituisci NAME con il nome del tuo computer virtuale.

   • Sostituisci FROM-PORT con la prima porta in un intervallo di porte che desideri aprire.

   • Sostituisci PROTOCOL con il nome del protocollo IP. Ad esempio, TCP.

   • Sostituisci TO-PORT con l'ultima porta in un intervallo di porte che desideri aprire.

   • Sostituisci IP con l'indirizzo IP o l'intervallo di indirizzi IP a cui desideri che il tuo computer virtuale si connetta.

   aws lightsail open-instance-public-ports --region REGION --instance-name NAME --port-info fromPort=FROM-PORT, protocol=PROTOCOL, toPort=TO-PORT,cidrs=IP

   Esempio

   aws lightsail open-instance-public-ports --region us-east-2 --instance-name MyUbuntu --port-info fromPort=22, protocol=TCP, toPort=22,cidrs=192.0.2.0/24

   La risposta mostrerà le porte, i protocolli e gli intervalli CIDR IP appena aggiunti a cui il computer virtuale può connettersi.

   

   Per informazioni su come chiudere le porte, vai alla sezione successiva.

Chiudere le porte di un computer virtuale

Completa la procedura seguente per chiudere le porte di un computer virtuale. Questa procedura utilizza il close-instance-public-ports AWS CLI comando. Per ulteriori informazioni, consulta la sezione close-instance-public-ports nella Documentazione di riferimento della AWS CLI .

1. Questo passaggio viene determinato dal sistema operativo del computer locale.

   • Se il computer locale utilizza un sistema operativo Windows, apri una finestra del prompt dei comandi.

   • Se il computer locale utilizza un sistema operativo basato su Linux o UNIX (incluso macOS), apri una finestra di Terminale.

2. Inserisci il comando seguente per chiudere le porte.

   Nei comandi seguenti, sostituisci i seguenti elementi:

   • Sostituisci REGION con il codice della AWS regione in cui è stato creato il computer virtuale, ad esempious-east-2.

   • Sostituisci NAME con il nome del tuo computer virtuale.

   • Sostituisci FROM-PORT con la prima porta in un intervallo di porte che desideri chiudere.

   • Sostituisci PROTOCOL con il nome del protocollo IP. Ad esempio, TCP.

   • Sostituisci TO-PORT con l’ultima porta in un intervallo di porte che desideri chiudere.

   • Sostituisci IP con l'indirizzo IP o l'intervallo di indirizzi IP che desideri rimuovere.

   aws lightsail close-instance-public-ports --region REGION --instance-name NAME --port-info fromPort=FROM-PORT, protocol=PROTOCOL, toPort=TO-PORT,cidrs=IP

   Esempio

   aws lightsail close-instance-public-ports --region us-east-2 --instance-name MyUbuntu --port-info fromPort=22, protocol=TCP, toPort=22,cidrs=192.0.2.0/24

   La risposta mostrerà le porte, i protocolli e gli intervalli CIDR IP che sono stati chiusi e non possono più connettersi al computer virtuale.

   

Passa alle fasi successive

Dopo aver gestito correttamente le porte del firewall del tuo computer virtuale, puoi completare gli ulteriori passaggi di seguito:

• Ottieni la coppia di chiavi del tuo computer virtuale. Con la coppia di chiavi, puoi stabilire una connessione utilizzando numerosi client SSH, come OpenSSH, PuTTY e Windows Subsystem per Linux. Per ulteriori informazioni, consulta Richiedi una key pair per un computer virtuale Lightsail for Research.

• Connettiti al computer virtuale tramite SSH per gestirlo tramite la riga di comando. Per ulteriori informazioni, consulta Trasferisci file sui computer virtuali di Lightsail for Research utilizzando Secure Copy.

• Connettiti al computer virtuale tramite SCP per trasferire file in modo sicuro. Per ulteriori informazioni, consulta Trasferisci file sui computer virtuali di Lightsail for Research utilizzando Secure Copy.