临时端口 - Amazon Virtual Private Cloud

临时端口

上一个部分中的网络 ACL 实例使用了临时端口范围 32768-65535。但是,您可能需要根据自己使用的或作为通信目标的客户端的类型为网络 ACL 使用不同的范围。

发起请求的客户端会选择临时端口范围。根据客户端的操作系统不同,范围也随之更改。

  • 许多 Linux 内核(包括 Amazon Linux 内核)使用端口 32768-61000。

  • 源自 Elastic Load Balancing 的请求使用端口 1024-65535。

  • Windows 操作系统通过 Windows Server 2003 使用端口 1025-5000。

  • Windows Server 2008 及更高版本使用端口 49152-65535。

  • NAT 网关使用端口 1024 - 65535。

  • AWS Lambda 函数使用端口 1024-65535。

例如,如果一个来自 Internet 上的 Windows 10 客户端的请求到达您的 VPC 中的 Web 服务器,则您的网络 ACL 必须有相应的出站规则,才能支持目标为端口 49152-65535 的流量。

如果您的 VPC 中的一个实例是客户发起的请求,则您的网络 ACL 必须有入站规则以启动目标为仅适用于此类实例的临时端口的数据流(Amazon Linux、Windows Server 2008 等)。

在实际中,为使不同客户端类型可以启动流量进入您 VPC 中的公有实例,您可以开放临时端口 1024-65535。但是,您也可以在 ACL 中添加规则以拒绝任何在此范围内的来自恶意端口的数据流。请务必将拒绝规则放在表的较前端,先于开放一系列临时端口的允许规则。