Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Rete personalizzata ACLs
L'esempio seguente mostra una rete personalizzata ACL per una VPC che supporta IPv4 solo. Include regole in entrata che consentono HTTP il HTTPS traffico (100 e 110). Esiste una regola in uscita corrispondente che abilita le risposte a tale traffico in entrata (140), che copre le porte temporanee 32768-65535. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.
La rete include ACL anche regole in entrata che consentono il RDP traffico verso SSH la sottorete. La regola in uscita 120 consente le risposte in uscita dalla sottorete.
La rete ACL dispone di regole in uscita (100 e 110) che consentono il HTTPS traffico in uscita HTTP e in uscita dalla sottorete. Esiste una regola in entrata corrispondente che abilita le risposte a tale traffico in uscita (140), che copre le porte temporanee 32768-65535.
Ogni rete ACL include una regola predefinita il cui numero di regola è un asterisco. Questa regola garantisce che se un pacchetto non corrisponde a nessuna delle altre regole, viene rifiutato. Non puoi modificare né rimuovere questa regola.
| Rule # | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
Consente il HTTP traffico in entrata da qualsiasi IPv4 indirizzo. |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
Consente il HTTPS traffico in entrata da qualsiasi IPv4 indirizzo. |
|
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
ALLOW |
Consente il SSH traffico in entrata dall'intervallo di IPv4 indirizzi pubblici della rete domestica (tramite il gateway Internet). |
|
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
ALLOW |
Consente il RDP traffico in entrata verso i server Web dall'intervallo di IPv4 indirizzi pubblici della rete domestica (tramite il gateway Internet). |
|
140 |
Personalizzato TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
Consente il IPv4 traffico di ritorno in entrata da Internet (ovvero, per le richieste che hanno origine nella sottorete). Questo intervallo è solo un esempio. |
|
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Nega tutto il IPv4 traffico in entrata che non sia già gestito da una regola precedente (non modificabile). |
| Rule # | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
Consente il IPv4 HTTP traffico in uscita dalla sottorete verso Internet. |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
Consente il IPv4 HTTPS traffico in uscita dalla sottorete verso Internet. |
| 120 | SSH |
TCP |
1024-65535 |
192.0.2.0/24 |
ALLOW |
Consente il SSH traffico di ritorno in uscita verso l'intervallo di IPv4 indirizzi pubblici della rete domestica (tramite il gateway Internet). |
|
140 |
Personalizzato TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
Consente IPv4 risposte in uscita ai client su Internet (ad esempio, fornendo pagine Web agli utenti che visitano i server Web nella sottorete). Questo intervallo è solo un esempio. |
|
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Nega tutto il IPv4 traffico in uscita non già gestito da una regola precedente (non modificabile). |
Quando un pacchetto arriva alla sottorete, lo valutiamo in base alle regole in entrata della sottorete a ACL cui è associata (partendo dalla parte superiore dell'elenco di regole e procedendo verso la fine). Ecco come funziona la valutazione se il pacchetto è destinato alla porta (443). HTTPS Il pacchetto non corrisponde alla prima regola valutata (regola 100). Non corrisponde alla seconda regola (110), che consente il pacchetto nella sottorete. Se il pacchetto era destinato alla porta 139 (NetBIOS), non corrisponde a nessuna delle regole e la regola* alla fine nega il pacchetto.
Potrebbe essere necessario aggiungere una regola deny in una situazione in cui hai legittimamente la necessità di aprire un ampio intervallo di porte, ma alcune di esse sono incluse nell'intervallo di porte che desideri rifiutare. Devi accertarti di posizionare la regola deny il prima possibile nella tabella rispetto alla regola che consente l'ampio intervallo di traffico porta.
Le regole allow vengono aggiunte a seconda del caso d'uso. Ad esempio, puoi aggiungere una regola che consente l'uscita TCP e l'UDPaccesso sulla porta 53 per la risoluzione. DNS Per ogni regola aggiunta, verificare che vi sia una regola in entrata e in uscita corrispondente che abiliti il traffico di risposta.
L'esempio seguente mostra una rete personalizzata ACL per a a VPC cui è associato un IPv6 CIDR blocco. Questa rete ACL include regole per tutti IPv6 HTTP e per HTTPS il traffico. In questo caso, sono state inserite nuove regole tra le regole esistenti per il IPv4 traffico. Puoi anche aggiungere le regole come regole con numeri più alti dopo le IPv4 regole. IPv4e IPv6 il traffico sono separati, pertanto nessuna delle regole per il IPv4 traffico si applica al IPv6 traffico.
| Rule # | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
Consente il HTTP traffico in entrata da qualsiasi IPv4 indirizzo. |
|
105 |
HTTP |
TCP |
80 |
::/0 |
ALLOW |
Consente il HTTP traffico in entrata da qualsiasi IPv6 indirizzo. |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
Consente il HTTPS traffico in entrata da qualsiasi IPv4 indirizzo. |
|
115 |
HTTPS |
TCP |
443 |
::/0 |
ALLOW |
Consente il HTTPS traffico in entrata da qualsiasi IPv6 indirizzo. |
|
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
ALLOW |
Consente il SSH traffico in entrata dall'intervallo di IPv4 indirizzi pubblici della rete domestica (tramite il gateway Internet). |
|
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
ALLOW |
Consente il RDP traffico in entrata verso i server Web dall'intervallo di IPv4 indirizzi pubblici della rete domestica (tramite il gateway Internet). |
|
140 |
Personalizzato TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
Consente il IPv4 traffico di ritorno in entrata da Internet (ovvero, per le richieste che hanno origine nella sottorete). Questo intervallo è solo un esempio. |
|
145 |
Personalizzato TCP | TCP | 32768-65535 | ::/0 | ALLOW |
Consente il IPv6 traffico di ritorno in entrata da Internet (ovvero, per le richieste che hanno origine nella sottorete). Questo intervallo è solo un esempio. |
|
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Nega tutto il IPv4 traffico in entrata che non sia già gestito da una regola precedente (non modificabile). |
|
* |
Tutto il traffico |
Tutti |
Tutti |
::/0 |
DENY |
Nega tutto il IPv6 traffico in entrata che non sia già gestito da una regola precedente (non modificabile). |
| Rule # | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
Consente il IPv4 HTTP traffico in uscita dalla sottorete verso Internet. |
|
105 |
HTTP |
TCP |
80 |
::/0 |
ALLOW |
Consente il IPv6 HTTP traffico in uscita dalla sottorete verso Internet. |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
Consente il IPv4 HTTPS traffico in uscita dalla sottorete verso Internet. |
|
115 |
HTTPS |
TCP |
443 |
::/0 |
ALLOW |
Consente il IPv6 HTTPS traffico in uscita dalla sottorete verso Internet. |
|
140 |
Personalizzato TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
Consente IPv4 risposte in uscita ai client su Internet (ad esempio, fornendo pagine Web agli utenti che visitano i server Web nella sottorete). Questo intervallo è solo un esempio. |
|
145 |
Personalizzato TCP |
TCP |
32768-65535 |
::/0 |
ALLOW |
Consente IPv6 risposte in uscita ai client su Internet (ad esempio, fornendo pagine Web agli utenti che visitano i server Web nella sottorete). Questo intervallo è solo un esempio. |
|
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Nega tutto il IPv4 traffico in uscita non già gestito da una regola precedente (non modificabile). |
|
* |
Tutto il traffico |
Tutti |
Tutti |
::/0 |
DENY |
Nega tutto il IPv6 traffico in uscita che non sia già gestito da una regola precedente (non modificabile). |
ACLs AWS Rete personalizzata e altri servizi
Se crei una rete personalizzataACL, tieni presente come ciò potrebbe influire sulle risorse create utilizzando altri AWS servizi.
Con Elastic Load Balancing, se la sottorete per le istanze di backend dispone di una rete ACL in cui è stata aggiunta una regola di negazione per tutto il traffico proveniente da una 0.0.0.0/0 o da quella della sottoreteCIDR, il sistema di bilanciamento del carico non può effettuare controlli sullo stato delle istanze. Per ulteriori informazioni sulle ACL regole di rete consigliate per i sistemi di bilanciamento del carico e le istanze di backend, consulta Network ACLs for Load Balancers in una VPC nella Guida per l'utente dei sistemi Classic Load Balancers.
