VPC con sottoreti pubbliche e private e accesso AWS Site-to-Site VPN - Amazon Virtual Private Cloud

VPC con sottoreti pubbliche e private e accesso AWS Site-to-Site VPN

La configurazione per questo scenario include un VPC (Virtual Private Cloud) con una sottorete pubblica e una sottorete privata e un gateway virtuale privato per abilitare la comunicazione con la tua rete via un tunnel VPN IPsec. Questo scenario è quello consigliato se desideri estendere la tua rete nel cloud nonché accedere direttamente a Internet dal VPC. Questo scenario ti consente di eseguire un'applicazione multilivello con un front end Web scalabile in una sottorete pubblica e ospitare i dati in una sottorete privata collegata alla tua rete tramite una connessione AWS Site-to-Site VPN IPsec.

Puoi eventualmente configurare questo scenario per IPv6 utilizzando la procedura guidata di VPC per creare un VPC e sottoreti con blocchi CIDR IPv6 associati. Le istanze avviate nelle sottoreti possono ricevere indirizzi IPv6. Non supportiamo la comunicazione IPv6 tramite una connessione VPN Site-to-Site su un gateway virtuale privato; tuttavia, le istanze nel VPC possono comunicare tra loro via IPv6 e le istanze nella sottorete pubblica possono comunicare su Internet via IPv6. Per ulteriori informazioni sull'indirizzamento IPv4 e IPv6, consulta Assegnazione degli indirizzi IP nel VPC.

Per informazioni sulla gestione del software di istanza EC2, consulta Gestione del software sull'istanza Linux nella Guida dell'utente di Amazon EC2 per le istanze Linux.

Overview

Il seguente diagramma illustra i componenti principali della configurazione di questo scenario.


				Diagramma per scenario 3: VPC con sottoreti pubbliche e private e accesso VPN
Importante

Per questo scenario, consulta Dispositivo gateway del cliente nella Guida per l'utente di AWS Site-to-Site VPN per informazioni sulla configurazione del dispositivo gateway del cliente sul lato della connessione Site-to-Site VPN.

La configurazione di questo scenario include i seguenti elementi:

  • Un VPC con un CIDR IPv4 di dimensione /16 (esempio: 10.0.0.0/16). In questo modo si ottengono 65.536 indirizzi IPv4 privati.

  • Una sottorete pubblica con un CIDR IPv4 di dimensione /24 (esempio: 10.0.0.0/24). In questo modo si ottengono 256 indirizzi IPv4 privati. Una sottorete pubblica è una sottorete associata a una tabella di routing con una route a un gateway Internet.

  • Una sottorete solo VPN con un CIDR IPv4 di dimensione /24 (esempio: 10.0.1.0/24) In questo modo si ottengono 256 indirizzi IPv4 privati.

  • Un Internet gateway, Ciò collega il VPC a Internet e agli altri prodotti AWS.

  • Una connessione VPN Site-to-Site tra il VPC e la rete. La connessione VPN è costituita da un gateway virtuale privato sul lato Amazon della connessione VPN e un gateway del cliente situato sul lato della connessione VPN Site-to-Site.

  • Istanze con indirizzi IPv4 privati nell'intervallo di sottoreti (esempi: 10.0.0.5 e 10.0.1.5), che consente alle istanze di comunicare tra loro e con altre istanze nel VPC.

  • Istanze nella sottorete pubblica con indirizzi IP elastici (esempio: 198.51.100.1), ovvero indirizzi IPv4 pubblici che consentono a tali istanze di essere accessibili da Internet. Le istanze possono avere indirizzi IPv4 pubblici assegnati all'avvio anziché indirizzi IP elastici. Le istanze nella sottorete solo VPN sono server back-end che non devono accettare traffico in entrata da Internet, ma possono inviare e ricevere traffico dalla rete.

  • Una tabella di routing personalizzata associata alla sottorete pubblica. Questa tabella di routing contiene una voce che consente alle istanze nella sottorete di comunicare con altre istanze nel VPC e una voce che consente alle istanze nella sottorete di comunicare direttamente con Internet.

  • La tabella di routing principale associata alla sottorete solo VPN. La tabella di routing contiene una voce che consente alle istanze nella sottorete di comunicare con altre istanze nel VPC e una voce che consente alle istanze nella sottorete di comunicare direttamente con la rete.

Per ulteriori informazioni sulle sottoreti, consulta VPC e sottoreti e Assegnazione degli indirizzi IP nel VPC. Per ulteriori informazioni sugli Internet Gateway, consulta Gateway Internet. Per ulteriori informazioni sulla tua connessione AWS Site-to-Site VPN, consulta l'articolo in cui viene descritto che cos'è AWS Site-to-Site VPN nella Guida per l'utente di AWS Site-to-Site VPN.

Panoramica di IPv6

Puoi selezionare di abilitare IPv6 per questo scenario. Oltre ai componenti elencati sopra, questa configurazione include i seguenti:

  • Un blocco CIDR IPv6 di dimensione /56 associato al VPC (ad esempio: 2001:db8:1234:1a00::/56). AWS assegna il CIDR in automatico, non è possibile scegliere l'intervallo.

  • Un blocco CIDR IPv6 di dimensione /64 associato alla sottorete pubblica (esempio: 2001:db8:1234:1a00::/64). Puoi scegliere l'intervallo per la sottorete da quello allocato sul VPC. Non è possibile scegliere la dimensione del blocco CIDR IPv6.

  • Un blocco CIDR IPv6 di dimensione /64 associato alla sottorete solo VPN (esempio: 2001:db8:1234:1a01::/64). Puoi scegliere l'intervallo per la sottorete da quello allocato sul VPC. Non è possibile scegliere la dimensione del blocco CIDR IPv6.

  • Gli indirizzi IPv6 assegnati alle istanze dall'intervallo di sottoreti (esempio: 2001:db8:1234:1a00::1a).

  • Voci della tabella di routing personalizzata che consentono alle istanze nella sottorete pubblica di utilizzare IPv6 per comunicare tra loro e direttamente tramite Internet.

  • Una voce della tabella di routing principale che consente alle istanze nella sottorete solo VPN di utilizzare IPv6 per comunicare tra loro.


					VPC che supporta IPv6 con una sottorete pubblica e una sottorete solo VPN

I server Web nella sottorete pubblica hanno i seguenti indirizzi.

Server Indirizzo IPv4 Indirizzo IP elastico Indirizzo IPv6

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

I server di database nella sottorete privata hanno i seguenti indirizzi.

Server Indirizzo IPv4 Indirizzo IPv6

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Routing

Il VPC dispone di un router implicito (mostrato nel digramma di configurazione per questo scenario). In questo scenario, la procedura guidata di VPC aggiorna la tabella di routing principale utilizzata con la rete solo VPN e crea una tabella di routing personalizzata che associa alla sottorete pubblica.

Le istanze nella sottorete solo VPN non possono accedere direttamente a Internet. L'eventuale traffico destinato a Internet deve prima attraversare il gateway virtuale privato fino alla rete, dove il traffico è soggetto alle policy di sicurezza aziendali e del firewall. Se le istanze inviano del traffico destinato a AWS (ad esempio, richieste alle API di Amazon S3 o Amazon EC2), le richieste devono passare dal gateway virtuale privato alla rete e quindi a Internet prima di raggiungere AWS.

Suggerimento

Il traffico dalla rete verso un indirizzo IP elastico per un'istanza nella sottorete pubblica passa da Internet e non dal gateway virtuale privato. Puoi invece configurare una route E regole di gruppo di sicurezza che consentono il flusso di traffico dalla rete alla sottorete pubblica via il gateway virtuale privato.

La connessione VPN Site-to-Site è configurata come connessione VPN Site-to-Site instradata staticamente o come connessione VPN Site-to-Site instradata dinamicamente (tramite BGP). Se selezioni il routing statico, ti verrà chiesto di inserire manualmente il prefisso IP per la rete durante la creazione della connessione VPN. Se selezioni il routing dinamico, il prefisso IP viene annunciato automaticamente al gateway virtuale privato per il VPC utilizzando BGP.

Nelle tabelle seguenti sono descritte le tabelle di routing per questo scenario.

Tabella di routing principale

La prima voce è quella predefinita per il routing locale nel VPC; questa voce consente alle istanze nel VPC di comunicare tra loro via IPv4. La seconda voce instrada tutto il traffico rimanente della sottorete IPv4 dalla sottorete privata alla rete via il gateway virtuale privato (ad esempio, vgw-1a2b3c4d).

Destinazione Target

10.0.0.0/16

locale

0.0.0.0/0

vgw-id

Tabella di routing personalizzata

La prima voce è quella predefinita per il routing locale nel VPC; questa voce consente alle istanze nel VPC di comunicare tra loro. La seconda voce instrada tutto il traffico rimanente della sottorete IPv4 dalla sottorete pubblica a Internet attraverso il gateway Internet (ad esempio, igw-1a2b3c4d).

Destinazione Target

10.0.0.0/16

locale

0.0.0.0/0

igw-id

Routing alternativo

In alternativa, se le istanze nella sottorete privata devono accedere a Internet, puoi creare un'istanza o un gateway NAT (Network Address Translation) nella sottorete pubblica e configurare il routing di modo che il traffico destinato a Internet della sottorete passi attraverso il dispositivo NAT. Ciò consente alle istanze nella sottorete solo VPN di inviare richieste attraverso il gateway Internet (ad esempio, per gli aggiornamenti software).

Per ulteriori informazioni sulla configurazione manuale di un dispositivo NAT, consulta Dispositivi NAT per il tuo VPC. Per informazioni sull'utilizzo della procedura guidata di VPC per configurare un dispositivo NAT, consulta VPC con sottoreti pubbliche e private (NAT).

Per consentire al traffico destinato a Internet della sottorete privata di accedere al dispositivo NAT, è necessario aggiornare la tabella di routing principale come descritto di seguito.

La prima voce è quella predefinita per il routing locale nel VPC. La seconda voce instrada il traffico della sottorete associato alla rete locale (cliente) al gateway virtuale privato. In questo esempio, si supponga che l'intervallo di indirizzi IP della rete locale sia 172.16.0.0/12. La terza voce invia tutto il traffico della sottorete a un gateway NAT.

Destinazione Target

10.0.0.0/16

locale

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

Routing per IPv6

Se associ un blocco CIDR IPv6 al VPC e alle sottoreti, le tabelle di routing devono includere route distinte per il traffico IPv6. La tabella seguente mostra le tabelle di routing per questo scenario se scegli di abilitare la comunicazione IPv6 nel VPC.

Tabella di routing principale

La seconda voce è la route predefinita che viene aggiunta automaticamente per il routing locale nel VPC su IPv6.

Destinazione Target

10.0.0.0/16

locale

2001:db8:1234:1a00::/56

locale

0.0.0.0/0

vgw-id

Tabella di routing personalizzata

La seconda voce è la route predefinita che viene aggiunta automaticamente per il routing locale nel VPC su IPv6. La quarta voce instrada tutto il rimanente traffico della sottorete IPv6 all'Internet gateway.

Destinazione Target

10.0.0.0/16

locale

2001:db8:1234:1a00::/56

locale

0.0.0.0/0

igw-id

::/0

igw-id

Security

AWS fornisce due funzionalità che puoi utilizzare per incrementare la sicurezza del tuo VPC: i gruppi di sicurezza e le liste di controllo degli accessi di rete (ACL). I gruppi di sicurezza controllano il traffico in entrata e in uscita per le tue istanze, mentre le liste di controllo degli accessi di rete controllano il traffico in entrata e in uscita per le tue sottoreti. Nella maggior parte dei casi, i gruppi di sicurezza sono in grado di gestire le tue esigenze, tuttavia puoi utilizzare le liste di controllo degli accessi di rete se desideri un livello di sicurezza aggiuntivo per il tuo VPC. Per ulteriori informazioni, consulta Riservatezza del traffico Internet in Amazon VPC.

Per lo scenario 3, utilizzerai gruppi di sicurezza ma non le liste di controllo accessi di rete. Per utilizzare una lista di controllo accessi di rete, consulta Regole lista di controllo accessi consigliate per un VPC con sottoreti pubbliche e private e accesso AWS Site-to-Site VPN.

Il VPC include un gruppo di sicurezza predefinito. Un'istanza avviata nel VPC viene associata automaticamente al gruppo di sicurezza predefinito se non ne indichi uno diverso in fase di avvio. Per questo scenario, consigliamo la creazione dei gruppi di sicurezza seguenti anziché utilizzare il gruppo di sicurezza predefinito:

  • WebServerSG: specifica questo gruppo di sicurezza quando avvii server Web nella sottorete pubblica.

  • DBServerSG: specifica questo gruppo di sicurezza quando avvii server di database nella sottorete solo VPN.

Le istanze assegnate a un gruppo di sicurezza possono essere in sottoreti differenti. Tuttavia, in questo scenario, ogni gruppo di sicurezza corrisponde al tipo di ruolo svolto da un'istanza e ogni ruolo richiede che l'istanza sia in una specifica sottorete. Di conseguenza, in questo scenario, tutte le istanze assegnate a un gruppo di sicurezza sono nella stessa sottorete.

La tabella seguente descrive le regole consigliate per il gruppo di sicurezza WebServerSG, che consentono ai server Web di ricevere traffico Internet nonché traffico SSH e RDP dalla rete. I server Web possono inoltre avviare richieste di lettura e scrittura ai server di database nella sottorete solo VPN e inviare traffico a Internet, ad esempio per ottenere aggiornamenti software. Poiché il server Web non avvia nessun'altra comunicazione in uscita, la regola in uscita predefinita viene rimossa.

Nota

Il gruppo include l'accesso SSH e RDP nonché l'accesso Microsoft SQL Server e MySQL. Nel tua caso, potresti aver bisogno soltanto delle regole per Linux (SSH e MySQL) o Windows (RDP e Microsoft SQL Server).

In entrata
Crea Protocollo Intervallo porte Commenti

0.0.0.0/0

TCP

80

Autorizza l'accesso HTTP in entrata ai server Web da qualunque indirizzo IPv4.

0.0.0.0/0

TCP

443

Autorizza l'accesso HTTPS in entrata ai server Web da qualunque indirizzo IPv4.

Intervallo di indirizzi IP pubblici della tua rete

TCP

22

Consente l'accesso SSH in entrata alle istanze Linux dalla rete (attraverso il gateway Internet).

Intervallo di indirizzi IP pubblici della tua rete

TCP

3389

Consente l'accesso RDP in entrata alle istanze Windows dalla rete (attraverso il gateway Internet).

In uscita

ID del gruppo di sicurezza DBServerSG

TCP

1433

Consente l'accesso Microsoft SQL Server in uscita ai server di database assegnati a DBServerSG.

ID del gruppo di sicurezza DBServerSG

TCP

3306

Consente l'accesso MySQL in uscita ai server di database assegnati a DBServerSG.

0.0.0.0/0

TCP

80

Consente l'accesso HTTP in uscita a Internet.

0.0.0.0/0

TCP

443

Consente l'accesso HTTPS in uscita a Internet.

La tabella seguente descrive le regole consigliate per il gruppo di sicurezza DBServerSG, che consentono le richieste di lettura e scrittura di Microsoft SQL Server e MySQL dai server Web e il traffico SSH e RDP dalla rete. I server di database possono anche avviare il traffico diretto a Internet (la tabella di routing invia il traffico attraverso il gateway virtuale privato).

In entrata
Crea Protocollo Intervallo porte Commenti

ID del gruppo di sicurezza WebServerSG

TCP

1433

Consente l'accesso Microsoft SQL Server in entrata dai server Web associati al gruppo di sicurezza WebServerSG.

ID del gruppo di sicurezza WebServerSG

TCP

3306

Consente l'accesso MySQL Server in entrata dai server Web associati al gruppo di sicurezza WebServerSG.

Intervallo di indirizzi IPv4 della tua rete

TCP

22

Consente il traffico SSH in entrata alle istanze Linux dalla rete (via il gateway virtuale privato internet).

Intervallo di indirizzi IPv4 della tua rete

TCP

3389

Consente il traffico RDP in entrata alle istanze Windows dalla rete (via il gateway virtuale privato).

In uscita

Destinazione Protocollo Intervallo porte Commenti

0.0.0.0/0

TCP

80

Consente l'accesso HTTP IPv4 in uscita a Internet (ad esempio, per gli aggiornamenti software) attraverso il gateway virtuale privato.

0.0.0.0/0

TCP

443

Consente l'accesso HTTPS IPv4 in uscita a Internet (ad esempio, per gli aggiornamenti software) attraverso il gateway virtuale privato.

(Facoltativo) Il gruppo di sicurezza predefinito per un VPC include regole che consentono automaticamente alle istanze assegnate di comunicare tra loro. Per consentire tale tipo di comunicazione per un gruppo di sicurezza personalizzato, devi aggiungere le seguenti regole:

In entrata
Crea Protocollo Intervallo porte Commenti

L'ID del gruppo di sicurezza

Tutti

Tutti

Consente il traffico in entrata dalle altre istanze assegnate a questo gruppo di sicurezza.

In uscita
Destinazione Protocollo Intervallo porte Commenti
The ID of the security group All All Allow outbound traffic to other instances assigned to this security group.

Regole del gruppo di sicurezza per IPv6

Se associ un blocco CIDR IPv6 al VPC e alle sottoreti, devi aggiungere regole distinte ai gruppi di sicurezza WebServerSG e DBServerSG per controllare il traffico IPv6 in entrata e in uscita per le istanze. In questo scenario i server Web saranno in grado di ricevere tutto il traffico Internet via IPv6 e il traffico SSH o RDP dalla rete locale via IPv6. Possono inoltre avviare il traffico IPv6 in uscita a Internet. I server di database non possono avviare il traffico IPv6 in uscita verso Internet, di conseguenza non richiedono alcuna regola di gruppo di sicurezza supplementare.

Di seguito sono riportate le regole specifiche di IPv6 per il gruppo di sicurezza WebServerSG (in aggiunta alle regole Elencate in precedenza).

In entrata
Crea Protocollo Intervallo porte Commenti

::/0

TCP

80

Autorizza l'accesso HTTP in entrata ai server Web da qualunque indirizzo IPv6.

::/0

TCP

443

Autorizza l'accesso HTTPS in entrata ai server Web da qualunque indirizzo IPv6.

Intervallo indirizzi IPv6 pubblici della rete

TCP

22

(Istanze Linux) Autorizza l'accesso SSH in entrata su IPv6 dalla rete.

Intervallo indirizzi IPv6 pubblici della rete

TCP

3389

(Istanze Windows) Autorizza l'accesso RDP in entrata su IPv6 dalla rete

In uscita
Destinazione Protocollo Intervallo porte Commenti
::/0 TCP HTTP Allow outbound HTTP access to any IPv6 address.
::/0 TCP HTTPS Allow outbound HTTPS access to any IPv6 address.

Implementazione dello scenario 3

Per implementare lo scenario 3, ottieni le informazioni sul gateway del cliente E crea il VPC utilizzando la procedura guidata di VPC. La procedura guidata di VPC crea automaticamente una connessione VPN Site-to-Site a un gateway del cliente e a un gateway virtuale privato.

Queste procedure comprendono passaggi opzionali per abilitare E configurare la comunicazione IPv6 del VPC. Non devi seguire questi passaggi se non vuoi utilizzare IPv6 nel VPC.

Per preparare il gateway del cliente

  1. Determinare il dispositivo che verrà utilizzato come dispositivo gateway del cliente. Per ulteriori informazioni, consulta Dispositivo gateway del cliente nella Guida per l'utente di AWS Site-to-Site VPN.

  2. Ottenere l'indirizzo IP Internet instradabile per l'interfaccia esterna del dispositivo gateway del cliente. L'indirizzo deve Essere statico e può trovarsi dietro un dispositivo che Esegue la conversione degli indirizzi di rete (NAT)

  3. Se si desidera creare una connessione VPN Site-to-Site instradata staticamente, recuperare l'elenco di intervalli IP interni (in notazione CIDR) che devono essere pubblicizzati sulla connessione VPN per il gateway virtuale privato. Per ulteriori informazioni, consulta Tabelle di routing e priorità della route VPN nella Guida per l'utente di AWS Site-to-Site VPN.

Per informazioni sull'utilizzo della procedura guidata VPC con IPv4, consulta Nozioni di base su Amazon VPC.

Per informazioni sull'utilizzo della procedura guidata VPC con IPv6, consulta Nozioni di base su IPv6 per Amazon VPC.

Regole lista di controllo accessi consigliate per un VPC con sottoreti pubbliche e private e accesso AWS Site-to-Site VPN

Per questo scenario disponi di una lista di controllo accessi di rete per la sottorete pubblica e di una separata per la sottorete solo VPN. La tabella riportata di seguito mostra le regole consigliate per ogni lista di controllo accessi di rete. Queste bloccano tutto il traffico tranne quello richiesto in maniera esplicita.

Inbound
Rule # IP di origine Protocollo Porta Consenti/Nega Commenti

100

0.0.0.0/0

TCP

80

PERMETTI

Permette traffico HTTP in entrata ai server Web da qualunque indirizzo IPv4.

110

0.0.0.0/0

TCP

443

PERMETTI

Permette traffico HTTPS in entrata ai server Web da qualunque indirizzo IPv4.

120

Intervallo indirizzi IPv4 pubblici della rete privata

TCP

22

PERMETTI

Permette traffico SSH in entrata ai server Web dalla rete privata (mediante Internet gateway).

130

Intervallo indirizzi IPv4 pubblici della rete privata

TCP

3389

PERMETTI

Permette traffico RDP in entrata ai server Web dalla rete privata (mediante Internet gateway).

140

0.0.0.0/0

TCP

32768-65535

PERMETTI

Permette traffico di ritorno in entrata da host presenti su Internet che rispondono a richieste che hanno origine nella sottorete.

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

*

0.0.0.0/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile).

Outbound
Rule # IP dest Protocollo Porta Consenti/Nega Commenti

100

0.0.0.0/0

TCP

80

PERMETTI

Permette traffico HTTP in uscita dalla sottorete a Internet.

110

0.0.0.0/0

TCP

443

PERMETTI

Permette traffico HTTPS in uscita dalla sottorete a Internet.

120

10.0.1.0/24

TCP

1433

PERMETTI

Permette l'accesso MS SQL in uscita ai server di database nella sottorete solo VPN.

Questo numero di porta è solo a scopo di esempio. Altri esempi includono 3306 per accesso MySQL/Aurora, 5432 per accesso PostgreSQL, 5439 per accesso Amazon Redshift e 1521 per accesso Oracle.

140

0.0.0.0/0

TCP

32768-65535

PERMETTI

Permette risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

*

0.0.0.0/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico in uscita che non è già gestito da una regola precedente (non modificabile).

Inbound
Rule # IP di origine Protocollo Porta Consenti/Nega Commenti

100

10.0.0.0/24

TCP

1433

PERMETTI

Permette ai server Web nella sottorete pubblica di leggere E scrivere nei server MS SQL della sottorete solo VPN.

Questo numero di porta è solo a scopo di esempio. Altri esempi includono 3306 per accesso MySQL/Aurora, 5432 per accesso PostgreSQL, 5439 per accesso Amazon Redshift e 1521 per accesso Oracle.

120

Intervallo indirizzi IPv4 privati della rete privata

TCP

22

PERMETTI

Permette traffico SSH in entrata dalla rete privata (sul gateway virtuale privato).

130

Intervallo indirizzi IPv4 privati della rete privata

TCP

3389

PERMETTI

Permette traffico RDP in entrata dalla rete privata (sul gateway virtuale privato).

140

Intervallo indirizzi IP privati della rete privata

TCP

32768-65535

PERMETTI

Permette traffico di ritorno in entrata dai client nella rete privata (mediante gateway virtuale privato).

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

*

0.0.0.0/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico in entrata che non è già gestito da una regola precedente (non modificabile).

Outbound
Rule # IP dest Protocollo Porta Consenti/Nega Commenti

100

Intervallo indirizzi IP privati della rete privata

Tutti

Tutti

PERMETTI

Permette tutto il traffico in uscita dalla sottorete nella rete privata (sul gateway virtuale privato). Questa regola copre anche la regola 120. Tuttavia, è possibile rendere questa regola più restrittiva utilizzando un tipo di protocollo e un numero di porta specifici. Se rendi questa regola più restrittiva, devi includere la regola 120 nella lista di controllo accessi di rete per assicurarti che le risposte in uscita non siano bloccate.

110

10.0.0.0/24

TCP

32768-65535

PERMETTI

Permette risposte in uscita ai server Web della sottorete pubblica.

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

120

Intervallo indirizzi IP privati della rete privata

TCP

32768-65535

PERMETTI

Permette risposte in uscita a client nella rete privata (sul gateway virtuale privato).

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

*

0.0.0.0/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico in uscita che non è già gestito da una regola precedente (non modificabile).

Regole della lista di controllo degli accessi di rete consigliate per IPv6

Se hai implementato il supporto IPv6 e creato un VPC e sottoreti con blocchi CIDR IPv6 associati, devi separare le regole nelle liste di controllo accessi di rete per controllare il traffico IPv6 in entrata e in uscita.

Di seguito sono riportate le regole specifiche di IPv6 per le liste di controllo accessi di rete (in aggiunta alle regole precedenti).

Inbound
Rule # IP di origine Protocollo Porta Consenti/Nega Commenti

150

::/0

TCP

80

PERMETTI

Permette traffico HTTP in entrata da qualunque indirizzo IPv6.

160

::/0

TCP

443

PERMETTI

Permette traffico HTTPS in entrata da qualsiasi indirizzo IPv6.

170

Intervallo indirizzi IPv6 pubblici della rete privata

TCP

22

PERMETTI

Permette traffico SSH su IPv6 in entrata alla rete privata (mediante Internet gateway).

180

Intervallo indirizzi IPv6 pubblici della rete privata

TCP

3389

PERMETTI

Permette traffico RDP su IPv6 in entrata alla rete privata (mediante Internet gateway).

190

::/0

TCP

1024-65535

PERMETTI

Permette traffico di ritorno in entrata da host presenti su Internet che rispondono a richieste che hanno origine nella sottorete.

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

*

::/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico IPv6 in entrata che non è già gestito da una regola precedente (non modificabile).

Outbound
Rule # IP dest Protocollo Porta Consenti/Nega Commenti

150

::/0

TCP

80

PERMETTI

Permette traffico HTTP in uscita dalla sottorete a Internet.

160

::/0

TCP

443

PERMETTI

Permette traffico HTTPS in uscita dalla sottorete a Internet.

170

2001:db8:1234:1a01::/64

TCP

1433

PERMETTI

Permette l'accesso MS SQL in uscita ai server di database nella sottorete privata.

Questo numero di porta è solo a scopo di esempio. Altri esempi includono 3306 per accesso MySQL/Aurora, 5432 per accesso PostgreSQL, 5439 per accesso Amazon Redshift e 1521 per accesso Oracle.

190

::/0

TCP

32768-65535

PERMETTI

Permette risposte in uscita a client presenti su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

*

::/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico IPv6 in uscita che non è già gestito da una regola precedente (non modificabile).

Inbound
Rule # IP di origine Protocollo Porta Consenti/Nega Commenti

150

2001:db8:1234:1a00::/64

TCP

1433

PERMETTI

Permette ai server Web nella sottorete pubblica di leggere E scrivere nei server MS SQL della sottorete privata.

Questo numero di porta è solo a scopo di esempio. Altri esempi includono 3306 per accesso MySQL/Aurora, 5432 per accesso PostgreSQL, 5439 per accesso Amazon Redshift e 1521 per accesso Oracle.

*

::/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico IPv6 in entrata che non è già gestito da una regola precedente (non modificabile).

Outbound
Rule # IP dest Protocollo Porta Consenti/Nega Commenti

130

2001:db8:1234:1a00::/64

TCP

32768-65535

PERMETTI

Permette risposte in uscita alla sottorete pubblica (ad esempio, risposte a server Web nella sottorete pubblica che comunicano con i server DB nella sottorete privata).

Questo intervallo è solo un esempio. Per informazioni sulla scelta delle porte Effimere corrette per la configurazione, consulta Porte Effimere.

*

::/0

tutto

tutto

RIFIUTA

Rifiuta tutto il traffico IPv6 in uscita che non è già gestito da una regola precedente (non modificabile).