liste di controllo accessi di rete - Amazon Virtual Private Cloud

liste di controllo accessi di rete

Una lista di controllo accessi di rete è un livello di sicurezza opzionale per il VPC che agisce come un firewall per controllare il traffico in entrata e in uscita da una o più sottoreti. Si possono impostare liste di controllo accessi di rete con regole simili a quelle del gruppo di sicurezza, in modo tale da aggiungere un ulteriore livello di sicurezza al VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e liste di controllo accessi di rete, consulta Raffronto tra i gruppi di sicurezza e le liste di controllo accessi di rete.

Informazioni di base sulla lista di controllo accessi di rete

Di seguito sono riportate le nozioni di base che occorre sapere sulle liste di controllo accessi di rete:

  • Il VPC viene fornito automaticamente con una lista di controllo accessi di rete modificabile. Per impostazione predefinita, consente tutto il traffico IPv4 in entrata e in uscita e, se applicabile, il traffico IPv6.

  • Puoi creare una lista di controllo accessi di rete personalizzata e associarla a una sottorete. Per impostazione predefinita, ogni lista di controllo accessi di rete personalizzata rifiuta tutto il traffico in entrata e in uscita finché non si aggiungono regole.

  • Ogni sottorete nel VPC deve Essere associata a una lista di controllo accessi di rete. Se non associ in maniera esplicita una sottorete a una lista di controllo accessi di rete, la sottorete viene associata automaticamente alla lista di controllo accessi di rete predefinita.

  • Puoi associare una lista di controllo accessi di rete a più sottoreti. Tuttavia, una sottorete può essere associata a una sola lista di controllo accessi di rete alla volta. Quando associ una lista di controllo accessi di rete a una sottorete, l'associazione precedente viene rimossa.

  • Una lista di controllo accessi di rete contiene un elenco numerato di regole. Valutiamo le regole in ordine, partendo dalla regola con numerazione più bassa, per determinare se il traffico è consentito in entrata o in uscita da qualsiasi sottorete associata alla lista di controllo accessi di rete. Il numero più alto che puoi utilizzare per un regola è 32766. Ti consigliamo di iniziare creando regole in incrementi (ad esempio, incrementi di 10 o 100) in modo da poter inserire nuove regole se richiesto in seguito.

  • Una lista di controllo accessi di rete dispone di regole in entrata e in uscita separate E ciascuna regola può consentire o rifiutare traffico.

  • Le liste di controllo accessi di rete sono stateless, il che significa che le risposte al traffico in entrata consentito sono soggette alle regole per il traffico in uscita (e viceversa).

Esistono quote (limiti) per il numero di liste di controllo accessi di rete per VPC e per il numero di regole di liste di controllo accessi di rete Per ulteriori informazioni, consulta Quote Amazon VPC.

Regole di liste di controllo accessi di rete

Puoi aggiungere o rimuovere regole dalla lista di controllo accessi di rete predefinita o creare liste di controllo accessi di rete aggiuntive per il VPC. Quando aggiungi o rimuovi regole da una lista di controllo accessi di rete, le modifiche vengono applicate automaticamente alle sottoreti cui è associata.

Di seguito sono riportate le parti di una regola della lista di controllo accessi di rete:

  • Numero regola. Le regole sono valutate a partire da quella con numerazione più bassa. Non appena una regola corrisponde al traffico, viene applicata a prescindere da qualsiasi altra regola con numerazione più alta che potrebbe contraddirla.

  • Tipo. Il tipo di traffico; ad esempio, SSH. Puoi anche specificare tutto il traffico o un intervallo personalizzato.

  • Protocollo. Puoi specificare qualsiasi protocollo che dispone di un numero di protocollo standard. Per ulteriori informazioni, consulta la sezione relativa ai numeri di protocollo. Se specifichi ICMP come protocollo, puoi specificare qualcuno o tutti dei tipi e dei codici ICMP.

  • Intervallo porte. La porta di ascolto o l'intervallo di porte per il traffico. Ad esempio, 80 per il traffico HTTP.

  • Origine. [Solo regole in entrata] L'origine del traffico (intervallo CIDR).

  • Destinazione. [Solo regole in uscita] La destinazione per il traffico (intervallo CIDR).

  • Consenti/Nega. Scelta tra le opzioni allow o deny per il traffico specificato.

Se si aggiunge una regola utilizzando uno strumento a riga di comando o l'API Amazon EC2, l'intervallo CIDR viene modificato automaticamente nel suo formato canonico. Ad esempio, se si specifica 100.68.0.18/18 per l'intervallo CIDR, verrà creata una regola con un intervallo CIDR 100.68.0.0/18.

lista di controllo accessi di rete predefinita

La lista di controllo degli accessi di rete predefinita viene configurata per consentire tutto il traffico in entrata e in uscita dalle sottoreti cui è associata. Ogni lista di controllo accessi di rete include anche una regola il cui numero regola è un asterisco. Questa regola garantisce che se un pacchetto non corrisponde a nessuna delle altre regole numerate, viene rifiutato. Non puoi modificare né rimuovere questa regola.

Di seguito è riportato un esempio di lista di controllo accessi di rete predefinita per un VPC che supporta solo IPv4.

In entrata
Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega

100

Tutto il traffico IPv4

Tutti

Tutti

0.0.0.0/0

PERMETTI

*

Tutto il traffico IPv4

Tutti

Tutti

0.0.0.0/0

RIFIUTA

In uscita
Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega

100

Tutto il traffico IPv4

Tutti

Tutti

0.0.0.0/0

PERMETTI

*

Tutto il traffico IPv4

Tutti

Tutti

0.0.0.0/0

RIFIUTA

Se crei un VPC con un blocco CIDR IPv6 o se associ un blocco CIDR IPv6 a un VPC esistente, aggiungiamo automaticamente regole che consentono il flusso di tutto il traffico IPv6 in entrata e in uscita dalla sottorete. Aggiungiamo anche regole i cui numeri regola sono un asterisco che garantisce che un pacchetto viene rifiutato se non corrisponde ad alcuna delle altre regole numerate. Non puoi modificare né rimuovere queste regole. Di seguito è riportato un esempio di lista di controllo accessi di rete predefinita per un VPC che supporta IPv4 e IPv6.

Nota

Se hai modificato le regole in entrata della lista di controllo accessi di rete predefinita, non aggiungiamo automaticamente una regola allow per il traffico IPv6 in entrata quando associ un blocco IPv6 al VPC. Analogamente, se hai modificato le regole in uscita, non aggiungiamo automaticamente una regola allow per il traffico IPv6 in uscita.

In entrata
Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega

100

Tutto il traffico IPv4

Tutti

Tutti

0.0.0.0/0

PERMETTI

101

Tutto il traffico IPv6

Tutti

Tutti

::/0

PERMETTI

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

*

Tutto il traffico IPv6

Tutti

Tutti

::/0

RIFIUTA

In uscita
Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega

100

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

PERMETTI

101

Tutto il traffico IPv6

Tutti

Tutti

::/0

PERMETTI

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

*

Tutto il traffico IPv6

Tutti

Tutti

::/0

RIFIUTA

lista di controllo accessi di rete personalizzata

Nella tabella seguente viene mostrato un esempio di una lista di controllo accessi di rete personalizzata per un VPC che supporta solo IPv4. Include regole che consentono traffico HTTP e HTTPS in entrata (regole in entrata 100 e 110). Esiste una regola in uscita corrispondente che abilita risposte a tale traffico in entrata (regola in uscita 120, che copre le porte temporanee 32768-65535). Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

La lista di controllo accessi di rete include anche regole in entrata che consentono traffico SSH e RDP nella sottorete. La regola in uscita 120 consente risposte in uscita dalla sottorete.

La lista di controllo accessi di rete dispone di regole in uscita (100 e 110) che consentono traffico HTTP e HTTPS in uscita dalla sottorete. Esiste una regola in entrata corrispondente che abilita risposte a tale traffico in uscita (regola in entrata 140, che copre le porte temporanee 32768-65535).

Nota

Ogni lista di controllo accessi di rete include una regola predefinita il cui numero regola è un asterisco. Questa regola garantisce che se un pacchetto non corrisponde a nessuna delle altre regole, viene rifiutato. Non puoi modificare né rimuovere questa regola.

In entrata
Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

PERMETTI

Consente traffico HTTP in entrata da qualunque indirizzo IPv4.

110

HTTPS

TCP

443

0.0.0.0/0

PERMETTI

Consente traffico HTTPS in entrata da qualsiasi indirizzo IPv4.

120

SSH

TCP

22

192.0.2.0/24

PERMETTI

Consente traffico SSH in entrata dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

130

RDP

TCP

3389

192.0.2.0/24

PERMETTI

Consente traffico RDP in entrata ai server Web dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

140

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

ALLOW

Consente traffico IPv4 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete).

Questo intervallo è solo un esempio. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile).

In uscita
Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

ALLOW

Permette traffico HTTP IPv4 in uscita dalla sottorete a Internet.

110

HTTPS

TCP

443

0.0.0.0/0

ALLOW

Permette traffico HTTPS IPv4 in uscita dalla sottorete a Internet.

120

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

ALLOW

Permette risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

Rifiuta tutto il traffico IPv4 in uscita che non è già gestito da una regola precedente (non modificabile).

Non appena un pacchetto arriva nella sottorete, lo valutiamo rispetto alle regole in ingresso della lista di controllo accessi cui è associata la sottorete (partendo dall'inizio dell'elenco di regole e spostandoci verso la fine). Di seguito viene descritta la valutazione se il pacchetto è destinato alla porta HTTPS (443). Il pacchetto non corrisponde alla prima regola valutata (regola 100). Non corrisponde alla seconda regola (110), che consente il pacchetto nella sottorete. Se il pacchetto era destinato alla porta 139 (NetBIOS), non corrisponde a nessuna delle regole E la regola * rifiuta alla fine il pacchetto.

Potrebbe essere necessario aggiungere una regola deny in una situazione in cui hai legittimamente la necessità di aprire un ampio intervallo di porte, ma alcune di esse sono incluse nell'intervallo di porte che desideri rifiutare. Devi accertarti di posizionare la regola deny il prima possibile nella tabella rispetto alla regola che consente l'ampio intervallo di traffico porta.

Le regole allow vengono aggiunte a seconda del caso d'uso. Ad esempio, è possibile aggiungere una regola che consente l'accesso TCP e UDP in uscita sulla porta 53 per la risoluzione DNS. Per ogni regola aggiunta, verificare che vi sia una regola in entrata e in uscita corrispondente che abiliti il traffico di risposta.

Nella tabella seguente viene mostrato lo stesso esempio di una lista di controllo accessi di rete personalizzata per un VPC cui è associato un blocco CIDR IPv6. Questa lista di controllo accessi di rete include tutto il traffico HTTP e HTTPS IPv6. In questo caso, sono state inserite nuove regole tra le regole esistenti per il traffico IPv4. È inoltre possibile aggiungere le regole come regole con numeri più alti dopo le regole IPv4. Il traffico IPv4 è separato dal traffico IPv6 e, pertanto, nessuna delle regole per il traffico IPv4 si applica al traffico IPv6.

In entrata
Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

PERMETTI

Consente traffico HTTP in entrata da qualunque indirizzo IPv4.

105

HTTP

TCP

80

::/0

PERMETTI

Permette traffico HTTP in entrata da qualunque indirizzo IPv6.

110

HTTPS

TCP

443

0.0.0.0/0

PERMETTI

Consente traffico HTTPS in entrata da qualsiasi indirizzo IPv4.

115

HTTPS

TCP

443

::/0

PERMETTI

Permette traffico HTTPS in entrata da qualsiasi indirizzo IPv6.

120

SSH

TCP

22

192.0.2.0/24

PERMETTI

Consente traffico SSH in entrata dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

130

RDP

TCP

3389

192.0.2.0/24

PERMETTI

Consente traffico RDP in entrata ai server Web dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

140

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

ALLOW

Consente traffico IPv4 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete).

Questo intervallo è solo un esempio. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

145

TCP personalizzato TCP 32768-65535 ::/0 ALLOW

Permette traffico IPv6 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete).

Questo intervallo è solo un esempio. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile).

*

Tutto il traffico

Tutti

Tutti

::/0

RIFIUTA

Rifiuta tutto il traffico IPv6 in entrata che non è già gestito da una regola precedente (non modificabile).

In uscita
Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

ALLOW

Permette traffico HTTP IPv4 in uscita dalla sottorete a Internet.

105

HTTP

TCP

80

::/0

ALLOW

Permette traffico HTTP IPv6 in uscita dalla sottorete a Internet.

110

HTTPS

TCP

443

0.0.0.0/0

ALLOW

Permette traffico HTTPS IPv4 in uscita dalla sottorete a Internet.

115

HTTPS

TCP

443

::/0

ALLOW

Permette traffico HTTPS IPv6 in uscita dalla sottorete a Internet.

120

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

ALLOW

Permette risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

125

TCP personalizzato

TCP

32768-65535

::/0

ALLOW

Permette risposte IPv6 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

Rifiuta tutto il traffico IPv4 in uscita che non è già gestito da una regola precedente (non modificabile).

*

Tutto il traffico

Tutti

Tutti

::/0

RIFIUTA

Rifiuta tutto il traffico IPv6 in uscita che non è già gestito da una regola precedente (non modificabile).

Per ulteriori esempi, consulta Regole consigliate per gli scenari della procedura guidata VPC.

Liste di controllo accessi (ACL) di rete personalizzati e altri servizi AWS

Se si crea una lista di controllo accessi (ACL) personalizzata, verificare in che modo questa può influire sulle risorse create utilizzando altri servizi AWS.

Con Elastic Load Balancing, se la sottorete per le istanze di back-end dispone di una lista di controllo accessi di rete in cui è stata aggiunta una regola deny per tutto il traffico con un'origine di 0.0.0.0/0 o il CIDR della sottorete, il sistema di bilanciamento del carico non può eseguire controlli di stato sulle istanze. Per ulteriori informazioni sulle regole della lista di controllo accessi di rete consigliate per i sistemi di bilanciamento del carico e le istanze di back-end, consulta Liste di controllo degli accessi di rete per sistemi di bilanciamento del carico in un VPC nella Guida per l’utente di Classic Load Balancers.

Porte Effimere

La lista di controllo accessi di rete di esempio nella sezione precedente utilizza un intervallo di porte Effimere di 32768-65535. Tuttavia, potrebbe Essere necessario utilizzare un intervallo diverso per le liste di controllo accessi di rete a seconda del tipo di client in uso o con cui si comunica.

Il client che avvia la richiesta sceglie l'intervallo di porte Effimere. L'intervallo varia a seconda del sistema operativo del client.

  • Molti kernel Linux (incluso il kernel Amazon Linux) usano le porte 32768-61000.

  • Le richieste provenienti da Elastic Load Balancing utilizzano le porte 1024-65535.

  • I sistemi operativi Windows tramite Windows Server 2003 utilizzano porte 1025-5000.

  • Windows Server 2008 e versioni successive utilizzano porte 49152-65535.

  • Un gateway NAT utilizza le porte 1024-65535.

  • Le funzioni AWS Lambda utilizzano le porte 1024-65535.

Ad esempio, se una richiesta arriva in un server Web nel VPC da un client Windows 10 su Internet, la lista di controllo degli accessi di rete deve disporre di una regola in uscita per abilitare il traffico destinato alle porte 49152-65535.

Se un'istanza nel VPC è il client che avvia una richiesta, la lista di controllo accessi di rete deve disporre di una regola in entrata per abilitare il traffico destinato alle porte temporanee specifiche per il tipo di istanza (Amazon Linux, Windows Server 2008 e così via).

In pratica, per coprire i diversi tipi di client che possono avviare il traffico su istanze rivolte al pubblico nel VPC, puoi aprire porte Effimere 1024-65535. Tuttavia, puoi anche aggiungere regole alla lista di controllo accessi per rifiutare il traffico su porte dannose all'interno di tale intervallo. Accertati di posizionare le regole deny il prima possibile nella tabella rispetto alle regole allow che aprono l'ampio intervallo di porte temporanee.

Rilevamento della MTU del percorso

Il rilevamento della MTU del percorso è utilizzato per determinare la MTU del percorso tra due dispositivi. La MTU del percorso è la dimensione massima del pacchetto che è supportata nel percorso tra l'host di origine e quello ricevente. Se un host invia un pacchetto più grande della MTU dell'host ricevente o della MTU di un dispositivo lungo il percorso, l'host o il dispositivo ricevente restituisce il seguente messaggio ICMP: Destination Unreachable: Fragmentation Needed and Don't Fragment was Set (Type 3, Code 4). Questo messaggio indica all'host originale di modificare la MTU fino a quando il pacchetto non può essere trasmesso.

Se l'unità di trasmissione massima (MTU) tra gli host nelle sottoreti è diversa, devi aggiungere la regola della lista di controllo accessi (ACL) seguente, sia in entrata sia in uscita. Ciò garantisce il corretto funzionamento del rilevamento della MTU del percorso e previene la perdita di pacchetti. Seleziona Custom ICMP Rule (Regola ICMP personalizzata) per il tipo e Destination Unreachable, fragmentation required, and DF flag set (Destinazione irraggiungibile: richiesta frammentazione e flag DF attivo) per l'intervallo di porte (tipo 3, codice 4). Se si utilizza traceroute, aggiungere anche la seguente regola: selezionare Custom ICMP Rule (Regola ICMP personalizzata) per il tipo e Time Exceeded (Orario superato), TTL expired transit (Transito TTL scaduto) per l'intervallo porte (tipo 11, codice 0). Per maggiori informazioni, consulta Unità di trasmissione massima di rete (MTU) per la tua istanza EC2 nel Manuale dell'utente di Amazon EC2 per le istanze Linux.

Utilizzo delle liste di controllo accessi di rete

Le attività seguenti mostrano come utilizzare liste di controllo accessi di rete tramite la console Amazon VPC.

Determinazione delle associazioni della lista di controllo accessi di rete

Puoi utilizzare la console Amazon VPC per determinare la lista di controllo accessi di rete che è associata a una sottorete. Le liste di controllo accessi di rete possono essere associate a più sottoreti, pertanto puoi anche determinare quali sottoreti sono associate a una lista di controllo accessi di rete.

Per determinare quale lista di controllo accessi di rete è associata a una sottorete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Subnets (Sottoreti) e selezionare la sottorete.

    La lista di controllo accessi di rete associata alla sottorete è inclusa nella scheda Network ACL (lista di controllo accessi di rete), insieme alle regole della lista di controllo accessi di rete.

Per determinare quale sottoreti sono associate a una lista di controllo accessi di rete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Network ACL (lista di controllo accessi di rete). Nella colonna Associated With (Associato con) è indicato il numero di sottoreti associate per ogni lista di controllo accessi di rete.

  3. Selezionare una lista di controllo accessi di rete.

  4. Nel riquadro dei dettagli, scegliere Subnet Associations (Associazioni sottorete) per visualizzare le sottoreti che sono associate alla lista di controllo accessi di rete.

Creazione di una lista di controllo accessi di rete

Puoi creare una lista di controllo accessi di rete personalizzata dal VPC. Per impostazione predefinita, una lista di controllo accessi di rete creata dall'utente blocca tutto il traffico in entrata e in uscita finché non si aggiungono regole E non è associata a una sottorete finché una non viene associata in maniera esplicita.

Per creare una lista di controllo accessi di rete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Network ACL (lista di controllo accessi di rete).

  3. Selezionare Create Network ACL (Crea lista di controllo accessi di rete).

  4. Nella finestra di dialogo Create Network ACL (Crea lista di controllo accessi di rete), assegnare facoltativamente un nome alla lista di controllo accessi di rete e selezionare l'ID del VPC dall'elenco VPC. Quindi selezionare Yes, Create (Sì, crea).

Aggiunta ed eliminazione di regole

Quando aggiungi o elimini una regola da una lista di controllo accessi, le eventuali sottoreti associate alla lista di controllo accessi sono influenzate dalla modifica. Non occorre terminare e avviare nuovamente le istanze nella sottorete. Le modifiche diventano effettive dopo un breve periodo di tempo.

Se stai utilizzando l'API Amazon EC2 o uno strumento a riga di comando, non puoi modificare le regole. Puoi solo aggiungere ed eliminare regole. Se stai utilizzando la console Amazon VPC, puoi modificare le voci relative alle regole esistenti. La console rimuove la regola esistente e aggiunge una nuova regola automaticamente. Se occorre modificare l'ordine di una regola nella lista di controllo accessi, devi aggiungere una nuova regola con il nuovo numero regola , quindi eliminare la regola originale.

Per aggiungere regole a una lista di controllo accessi di rete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Network ACL (lista di controllo accessi di rete).

  3. Nel riquadro dei dettagli, scegliere la scheda Inbound Rules (Regole in entrata) o Outbound Rules (Regole in uscita), in base al tipo di regola che occorre aggiungere, quindi selezionare Edit (Modifica).

  4. In Rule # (N. regola), immettere un numero regola (ad esempio, 100). Il numero regola non deve già essere in uso nella lista di controllo accessi di rete. Elaboriamo le regole nell'ordine, partendo da quella con il numero più basso.

    Ti consigliamo di lasciare degli spazi vuoti tra i numeri regola (ad esempio 100, 200, 300), anziché utilizzare numeri in sequenziali (101, 102, 103). Questo semplifica l'aggiunta di una nuova regola senza la necessità di numerare le regole Esistenti.

  5. Selezionare una regola dall'elenco Type (Tipo). Ad esempio, per aggiungere una regola per HTTP, scegliere HTTP. Per aggiungere una regola per consentire tutto il traffico TCP, scegliere All TCP (Tutto TCP). Per alcune di queste opzioni (ad esempio, HTTP), la porta viene compilata automaticamente. Per utilizzare un protocollo non elencato, scegliere Custom Protocol Rule (Regola protocollo personalizzata).

  6. (Facoltativo) Se si sta creando una regola protocollo personalizzata, selezionare il numero e il nome del protocollo dall'elenco Protocol (Protocollo). Per ulteriori informazioni, consulta la sezione relativa all'elenco IANA di numeri di protocollo.

  7. (Facoltativo) Se il protocollo selezionato richiede un numero di porta, immettere il numero di porta o l'intervallo di porte separato da un trattino (ad esempio, 49152-65535).

  8. Nel campo Source (Origine) o Destination (Destinazione) (a seconda che si tratti di una regola in entrata o in uscita), immettere l'intervallo CIDR cui si applica la regola.

  9. Dall'elenco Allow/Deny (Consenti/Rifiuta), selezionare ALLOW per consentire il traffico specificato o DENY per rifiutare il traffico specificato.

  10. (Facoltativo) Per aggiungere un'altra regola, selezionare Add another rule (Aggiungi un'altra regola) e ripetere le fasi da 4 a 9 come richiesto.

  11. Al termine, scegliere Save (Salva).

Per eliminare una regola da una lista di controllo accessi di rete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Network ACLs (liste di controllo accessi di rete), quindi selezionare la lista di controllo accessi di rete.

  3. Nel riquadro dei dettagli, selezionare la scheda Inbound Rules (Regole in entrata) o Outbound Rules (Regole in uscita), quindi selezionare Edit (Modifica). Selezionare Remove (Rimuovi) per la regola da eliminare, quindi selezionare Save (Salva).

Associazione di una sottorete a una lista di controllo accessi di rete

Per applicare le regole di una lista di controllo accessi di rete a una particolare sottorete, occorre associare la sottorete alla lista di controllo accessi di rete. Puoi associare una lista di controllo accessi di rete a più sottoreti. Tuttavia, una sottorete può essere associata a una sola lista di controllo accessi di rete. Eventuali sottoreti non associate a una particolare lista di controllo accessi vengono associate per impostazione predefinita alla lista di controllo accessi di rete predefinita.

Per associare una sottorete a una lista di controllo accessi di rete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Network ACLs (liste di controllo accessi di rete), quindi selezionare la lista di controllo accessi di rete.

  3. Nel riquadro dei dettagli, nella scheda Subnet Associations (Associazioni sottorete) scegliere Edit (Modifica). Selezionare la casella di controllo Associate (Associa) per la sottorete da associare alla lista di controllo accessi di rete, quindi selezionare Save (Salva).

Annullamento dell'associazione di una lista di controllo accessi di rete a una sottorete

È possibile annullare l'associazione di una lista di controllo accessi di rete personalizzata da una sottorete. Quando viene annullata l'associazione della sottorete dalla lista di controllo accessi di rete personalizzata, la sottorete viene quindi associata automaticamente alla lista di controllo accessi di rete predefinita.

Per annullare l'associazione di una sottorete a una lista di controllo accessi di rete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Network ACLs (liste di controllo accessi di rete), quindi selezionare la lista di controllo accessi di rete.

  3. Nel riquadro dei dettagli, selezionare la scheda Subnet Associations (Associazioni sottorete).

  4. Selezionare Edit (Modifica), quindi deselezionare la casella di controllo Associate (Associa) per la sottorete. Seleziona Save (Salva).

Modifica della lista di controllo accessi di rete di una sottorete

Puoi modificare la lista di controllo accessi di rete associata a una sottorete. Ad esempio, al momento della creazione, una sottorete viene inizialmente associata alla lista di controllo accessi di rete predefinita. Potrebbe invece Essere necessario associarla a una lista di controllo accessi di rete personalizzata creata.

Dopo aver modificato la lista di controllo accessi di rete di una sottorete, non è necessario terminare e riavviare le istanze nella sottorete. Le modifiche diventano effettive dopo un breve periodo di tempo.

Per modificare l'associazione della lista di controllo accessi di rete di una sottorete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Subnets (Sottoreti) e selezionare la sottorete.

  3. Seleziona la scheda Network ACL (lista di controllo accessi di rete), quindi selezionare Edit (Modifica).

  4. Selezionare la lista di controllo accessi di rete cui associare la sottorete dall'elenco Change in (Modifica in), quindi selezionare Save (Salva).

Eliminazione di una lista di controllo accessi di rete

Puoi eliminare una lista di controllo accessi di rete solo se a essa non sono associate sottoreti. Non puoi eliminare la lista di controllo accessi di rete predefinita.

Per eliminare una lista di controllo accessi di rete

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Network ACL (lista di controllo accessi di rete).

  3. Selezionare la lista di controllo accessi di rete, quindi selezionare Delete (Elimina).

  4. Nella finestra di dialogo di conferma, scegliere Yes, Delete (Sì, elimina).

Panoramica sulle API e sui comandi

Puoi eseguire le attività descritte in questa pagina tramite la riga di comando o un'API. Per ulteriori informazioni sulle interfacce a riga di comando e per un elenco delle API disponibili, consulta Accesso ad Amazon VPC.

Creazione di una lista di controllo accessi di rete per il VPC

Descrizione di una o più liste di controllo accessi di rete

Aggiunta di una regola a una lista di controllo accessi di rete

Eliminazione di una regola da una lista di controllo accessi di rete

Sostituzione di una regola esistente in una lista di controllo accessi di rete

Sostituzione di un'associazione della lista di controllo accessi di rete

Eliminazione di una lista di controllo accessi di rete

Esempio: controllo dell'accesso a istanze in una sottorete

In questo esempio, le istanze nella sottorete possono comunicare tra loro e sono accessibili da un computer remoto affidabile. Il computer remoto potrebbe essere un computer della rete locale o un'istanza in una sottorete o in un VPC diversi. Viene usato per connettersi alle istanze in modo da eseguire attività amministrative. Le regole del gruppo di sicurezza e le regole della lista di controllo accessi di rete consentono l'accesso dall'indirizzo IP del computer remoto (172.31.1.2/32). Tutto il traffico restante da Internet o altre reti viene rifiutato.


          Utilizzo di un gruppo di sicurezza e di un NACL

Tutte le istanze utilizzano lo stesso gruppo di sicurezza (sg-1a2b3c4d) con le seguenti regole.

Regole in entrata
Tipo di protocollo Protocollo Intervallo porte Crea Commenti
Tutto il traffico Tutti Tutti sg-1a2b3c4d Consente alle istanze che sono associate allo stesso gruppo di sicurezza di comunicare tra loro.
SSH TCP 22 172.31.1.2/32 Permette l'accesso SSH in entrata dal computer remoto. Se l'istanza è un computer Windows, questa regola deve invece utilizzare il protocollo RDP per la porta 3389.
Regole in uscita
Tipo di protocollo Protocollo Intervallo porte Destinazione Commenti
Tutto il traffico Tutti Tutti sg-1a2b3c4d Consente alle istanze che sono associate allo stesso gruppo di sicurezza di comunicare tra loro. I gruppi di sicurezza sono stateful. Pertanto non è necessaria una regola che abiliti un traffico di risposta per richieste in entrata.

La sottorete è associata a una lista di controllo accessi di rete che dispone delle seguenti regole.

Regole in entrata
Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega Commenti
100 SSH TCP 22 172.31.1.2/32 ALLOW Permette il traffico SSH in entrata dal computer remoto. Se l'istanza è un computer Windows, questa regola deve invece utilizzare il protocollo RDP per la porta 3389.
* Tutto il traffico Tutti Tutti 0.0.0.0/0 RIFIUTA Rifiuta tutto il traffico in entrata restante che non corrisponde alla regola precedente
Regole in uscita
Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega Commenti
100 TCP personalizzato TCP 1024-65535 172.31.1.2/32 ALLOW Permette risposte in uscita al computer remoto. Le liste di controllo accessi di rete sono stateless. Pertanto, questa regola è obbligatoria per abilitare il traffico di risposta per richieste in entrata.
* Tutto il traffico Tutti Tutti 0.0.0.0/0 RIFIUTA Rifiuta tutto il traffico in uscita restante che non corrisponde alla regola precedente

Questo scenario offre la flessibilità per modificare i gruppi di sicurezza o le regole dei gruppi di sicurezza per le istanze. La lista di controllo accessi di rete funziona come livello di difesa di backup. Le regole delle liste di controllo accessi di rete si applicano a tutte le istanze nella sottorete. Se per errore le regole del gruppo di sicurezza vengono rese troppo permissive, le regole della lista di controllo accessi di rete continuano a consentire l'accesso solo dall'indirizzo IP singolo. Ad esempio, le seguenti regole sono più permissive rispetto alle regole precedenti: consentono l'accesso SSH in entrata da qualsiasi indirizzo IP.

Regole in entrata
Tipo Protocollo Intervallo porte Crea Commenti
Tutto il traffico Tutti Tutti sg-1a2b3c4d Consente alle istanze che sono associate allo stesso gruppo di sicurezza di comunicare tra loro.
SSH TCP 22 0.0.0.0/0 Permette l'accesso SSH da qualsiasi indirizzo IP.
Regole in uscita
Tipo Protocollo Intervallo porte Destinazione Commenti
Tutto il traffico Tutti Tutti 0.0.0.0/0 Autorizza tutto il traffico in uscita.

Tuttavia, solo altre istanze all'interno della sottorete E del computer remoto sono in grado di accedere a questa istanza. Le regole della lista di controllo accessi di rete impediscono ancora tutto il traffico in entrata alla sottorete tranne che dal computer remoto.

Puoi utilizzare la procedura guidata VPC nella console Amazon VPC per implementare scenari comuni per Amazon VPC. Se implementi questi scenari come descritto nella documentazione, utilizzerai la lista di controllo accessi (ACL) di rete predefinita, che consente tutto il traffico in entrata e in uscita. Se occorre un livello di sicurezza aggiuntivo, puoi creare una lista di controllo accessi di rete E aggiungere regole. Per ulteriori informazioni, consulta uno dei seguenti argomenti: