使用 Lightsail 中的防火牆控制執行個體流 - Amazon Lightsail
Lightsail 防火牆建立防火牆規則指定通訊協定指定連接埠指定應用程式層級通訊協定類型指定來源 IP 地址預設 Lightsail 牆規則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Lightsail 中的防火牆控制執行個體流

Amazon Lightsail 主控台中的防火牆充當虛擬防火牆,可控制允許透過其公有 IP 位址連接到執行個體的流量。您在 Lightsail 中建立的每個執行個體都有兩個防火牆;一個用於IPv4地址,另一個用於IPv6位址。每個防火牆都包含一組篩選進入執行個體之流量的規則。兩個防火牆彼此獨立;您必須為和分別設定防火牆規IPv4則IPv6。您可隨時新增和刪除允許或限制流量的規則,以編輯執行個體的防火牆。

Lightsail 防火牆

每個 Lightsail 執行個體都有兩個防火牆;一個用於IPv4地址,另一個用於IPv6地址。進出 Lightsail 執行個體的所有網際網路流量都會通過其防火牆。執行個體防火牆會控制可流入執行個體的網際網路流量。不過,防火牆不會控制從中流出的流量 – 防火牆允許所有傳出流量。您可隨時新增和刪除允許或限制傳入流量的規則,以編輯執行個體的防火牆。請注意,兩個防火牆彼此獨立;您必須為IPv4和分別設定防火牆規則IPv6。

防火牆規則一律為許可制。您無法建立拒絕存取的規則。您可將規則新增至執行個體防火牆,以允許流量觸達執行個體。將規則新增至執行個體的防火牆時,必須指定要使用的通訊協定、要開啟的連接埠,以IPv4及允許連線至執行個體的和IPv6位址,如下列範例 (用於IPv4) 所示。您也可以指定應用程式層通訊協定類型,這是根據您打算在執行個體上使用的服務,為您指定通訊協定和連接埠範圍的預設。

IPv4主控台中 Lightsail 防火牆
重要

防火牆規則僅會影響流經執行個體之公有 IP 地址的流量。它不會影響流入執行個體私有 IP 位址的流量,而執行個體可能來自您帳戶中的 Lightsail 資源 AWS 區域,或是對等虛擬私有雲端 (VPC) 中的資源。 AWS 區域

本指南的後續幾個章節將說明防火牆規則及其可設定的參數。

建立防火牆規則

建立防火牆規則以讓用戶端能夠與執行個體建立連線,或與執行個體上執行的應用程式建立連線。例如,若要讓所有 Web 瀏覽器連線至執行個體上的 WordPress 應用程式,您可以設定防火牆規則,以便從任何 IP 位址透過連接埠 80 啟用傳輸控制通訊協定 (TCP)。如果執行個體的防火牆上已設定此規則,您可以刪除該規則,以封鎖 Web 瀏覽器連線至執行個體上的 WordPress 應用程式。

重要

您可以使用 Lightsail 主控台一次最多新增 30 個來源 IP 位址。若要一次最多新增 60 個 AWS SDK IP 位址,請使用 Lightsail API、 AWS Command Line Interface (AWS CLI) 或. 此配額會針對IPv4規則和IPv6規則分別強制執行。例如,防火牆可以有 60 個IPv4流量輸入規則和 60 個輸入規則的IPv6流量。我們建議您將個別 IP 位址合併為CIDR範圍。如需詳細資訊,請參閱本指南的指定來源 IP 地址一節。

您也可以透過設定僅從需要建立連線之電腦 IP 位址透TCP過連接埠 22 啟用的防火牆規則,讓用SSH戶端連線至您的執行個體,以便在伺服器上執行管理工作。在這種情況下,您不希望允許任何 IP 位址建立與執行個體的SSH連線,因為這樣做可能會導致執行個體的安全風險。

注意

本節所述的防火牆規則範例可能會依預設存在於執行個體的防火牆中。如需詳細資訊,請參閱本指南後續章節所述的預設防火牆規則

若特定連接埠有超過一個規則,我們會套用最寬鬆的規則。例如,如果您新增允許從 IP 位址 192.0.2.1 存取TCP連接埠 22 (SSH) 的規則。然後,您新增另一個允許所有人存取TCP連接埠 22 的規則。因此,每個人都可以訪問TCP端口 22。

指定通訊協定

通訊協定是指在兩部電腦之間傳輸資料時所採用的格式。Lightsail 可讓您在防火牆規則中指定下列通訊協定:

  • 傳輸控制通訊協定 (TCP) 主要用於建立和維護用戶端與執行個體上執行的應用程式之間的連線,直到資料交換完成為止。這是廣泛使用的通訊協定,而且是您通常可能會在防火牆規則中指定的通訊協定。TCP保證不會遺失任何傳輸的資料,而且傳送的所有資料都會傳送給預期的收件者。它的理想用途是需要高可靠性的網路應用程式,以及用於傳輸時間相對較不緊急的情況,例如 Web 瀏覽、金融交易和文字簡訊服務。如果資料的部分遺失,這些使用案例將會失去重要的價值。

  • 使用者資料包通訊協定 (UDP) 主要用於在用戶端與執行個體上執行的應用程式之間建立低延遲和容錯的連線。它的理想用途是將感知延遲視為至關重要的網路應用程式,例如遊戲、語音和視訊通訊。這些使用案例可能會遭受一些資料遺失,而不會對感知品質造成負面影響。

  • 際網路控制訊息通訊協定 (ICMP) 主要用於診斷網路通訊問題,例如判斷資料是否及時到達其預期目的地。它的理想用途是 Ping 公用程式,可用來測試本機電腦與執行個體之間的連線速度。它會回報資料觸達執行個體並返回本機電腦所需的時間。

    注意

    當您使用 Lightsail 主控台將ICMP規則新增至執行個體的IPv6防火牆時,規則會自動設定為使用ICMPv6。有關更多信息,請參閱維基百科IPv6上的互聯網控制消息協議

  • 全部可用來允許所有通訊協定流量流入執行個體。當您不確定要指定哪個通訊協定時,請指定此通訊協定。這包含所有網際網路通訊協定;不只是以上指定的通訊協定。如需詳細資訊,請參閱 Internet Assigned Numbers Authority 網站上的通訊協定號碼

指定連接埠

類似於電腦上的實體連接埠,可讓電腦與鍵盤和滑鼠等周邊裝置進行通訊,網路連接埠可做為執行個體的網際網路通訊端點。當電腦想要與執行個體連線時,它會公開連接埠以建立通訊。

您可在防火牆規則中指定的連接埠可能介於 0 至 65535。當您建立防火牆規則以讓用戶端能夠與執行個體建立連線時,您需要指定將使用的通訊協定 (請參閱本指南前述章節),以及可透過哪些連接埠號碼建立連線。您也可以指定允許使用通訊協定和連接埠建立連線的 IP 地址;請參閱本指南下一節所述。

以下是與服務搭配使用的其中一些常用連接埠:

  • 透過檔案傳輸通訊協定 (FTP) 的資料傳輸會使用連接埠 20。

  • 命令控制FTP使用端口 21。

  • 安全殼層 (SSH) 使用連接埠 22。

  • Telnet 遠端登入服務以及未加密文字簡訊使用連接埠 23。

  • 簡易郵件傳送通訊協定 (SMTP) 電子郵件路由使用通訊埠 25。

    重要

    若要在執行個體SMTP上啟用,您也必須為執行個體設DNS定反向功能。否則,您的電子郵件可能會受到TCP通訊埠 25 的限制。如需詳細資訊,請參閱在 Amazon Lightsail 執行個體上DNS為電子郵件伺服器設定反向設定

  • 網域名稱系統 (DNS) 服務使用連接埠 53。

  • Web 瀏覽器用來連接到網站的超文本傳輸協議(HTTP)使用端口 80。

  • 郵局協議(POP3)用於電子郵件客戶端從服務器檢索電子郵件使用端口 110。

  • 網路新聞傳輸通訊協定 (NNTP) 使用連接埠 119。

  • 網路時間通訊協定 (NTP) 使用連接埠 123。

  • 用來管理數位郵件的網際網路訊息存取通訊協定 (IMAP) 會使用連接埠 143。

  • 簡易網路管理通訊協定 (SNMP) 使用連接埠 161。

  • HTTP網絡瀏覽器使SSL用的安全(HTTPS)通HTTP過TLS/使用建立與網站的加密連接使用端口 443。

如需詳細資訊,請參閱 Internet Assigned Numbers Authority 網站上的服務名稱和傳輸通訊通訊協定連接埠號碼登錄檔

指定應用程式層級通訊協定類型

您可在建立防火牆規則時指定應用程式層通訊協定類型,這些是根據您要在執行個體上啟用的服務,為您指定規則的通訊協定和連接埠範圍的預設集。如此一來,您就不必搜尋一般通訊協定和連接埠,即可用於SSHRDPHTTP、和其他服務。您可以直接選擇應用程式層通訊協定類型,以及為您指定的通訊協定和連接埠。如果您偏好指定自己的通訊協定和連接埠,您可以選擇 Custom rule (自訂規則) 應用程式層通訊協定類型,這會讓您控制這些參數。

注意

您只能使用 Lightsail 主控台來指定應用程式層通訊協定類型。您無法使用 Lightsail API、 AWS Command Line Interface (AWS CLI) 或SDKs指定應用程式層通訊協定類型。

Lightsail 主控台提供下列應用程式層通訊協定類型:

  • Custom (自訂) – 選擇此選項以指定您自己的通訊協定和連接埠。

  • All protocols (所有通訊協定) – 選擇此選項以指定所有通訊協定,以及指定您自己的連接埠。

  • 全部 TCP — 選擇此選項可使用TCP通訊協定,但您不確定要開啟哪個連接埠。如此可TCP在所有連接埠上啟用 (0-65535)。

  • 全部 UDP — 選擇此選項可使用UDP通訊協定,但您不確定要開啟哪個連接埠。如此可UDP在所有連接埠上啟用 (0-65535)。

  • 全部 ICMP — 選擇此選項可指定所有ICMP類型和代碼。

  • 自訂 ICMP — 選擇此選項可使用ICMP通訊協定並定義ICMP類型和代碼。有關ICMP類型和代碼的更多信息,請參閱維基百科上的控制消息

  • DNS— 當您想要在執行個體DNS上啟用時,請選擇此選項。這會啟用TCP並透UDP過連接埠 53。

  • HTTP— 當您想要啟用 Web 瀏覽器連線至執行個體上託管的網站時,請選擇此選項。這會啟用TCP通訊埠 80 以上。

  • HTTPS— 當您想要啟用 Web 瀏覽器以建立與執行個體上託管之網站的加密連線時,請選擇此選項。這可透TCP過連接埠 443 啟用。

  • 我SQL的/Aurora — 選擇此選項可讓用戶端連線至執行個體上託管的 My SQL 或 Aurora 資料庫。這可以透TCP過連接埠 3306 啟用。

  • Oracle-RDS — 選擇此選項可讓從屬端連線至執行處理上託管的 Oracle 或RDS資料庫。這可透TCP過連接埠 1521 啟用。

  • Ping (ICMP) — 選擇此選項可讓您的執行個體使用 Ping 公用程式回應要求。在IPv4防火牆上,這會啟用ICMP類型 8(迴聲)和代碼 -1(所有代碼)。在IPv6防火牆上,這會啟用ICMP類型 129(回應回覆)和代碼 0。

  • RDP— 選擇此選項可讓用RDP戶端連線至您的執行個體。這會透TCP過連接埠 3389 啟用。

  • SSH— 選擇此選項可讓用SSH戶端連線至您的執行個體。這可透TCP過連接埠 22 啟用。

指定來源 IP 地址

根據預設,防火牆規則可讓所有 IP 地址透過指定的通訊協定和連接埠連線至執行個體。這是理想的流量,如網絡瀏覽器HTTP和HTTPS. 但是,這會對諸如SSH和之類的流量構成安全風險RDP,因為您不希望允許所有 IP 地址都能夠使用這些應用程序連接到您的執行個體。因此,您可以選擇將防火牆規則限制為 IP 位IPv6址IPv4或某個位址或範圍。

  • 針對IPv4防火牆-您可以指定單一IPv4位址 (例如 203.0.113.1) 或位址範圍。IPv4在 Lightsail 主控台中,您可以使用破折號 (例如,192.0.0-192.0.2.255) 或區塊標記法 (例如,192.0.2.0/24) 來指定範圍。CIDR有關CIDR塊表示法的更多信息,請參閱維基百科上的無類別域間路由

  • 對於IPv6防火牆-您可以指定單一IPv6位址 (例如,2001:0 資料庫 8:85 和 3:0000:8),或是位址範圍。IPv6在 Lightsail 主控台中,只IPv6能使用CIDR區塊標記法 (例如 2001: db8:: /32) 來指定範圍。有關IPv6CIDR塊符號的更多信息,請參閱維基百科上的IPv6CIDR塊

預設 Lightsail 牆規則

當您建立新的執行個體時,其執行個體IPv4和IPv6防火牆會預先設定下列一組預設規則,以便進行基本存取您的執行個體。根據您建立的執行個體類型,預設規則會有所不同。這些規則會以應用程式、通訊協定、連接埠和來源 IP 地址的形式列出 (例如應用程式 - 通訊協定 - 連接埠 - 來源 IP 地址)。

AlmaLinux, Amazon Linux 2, Amazon Linux 2023, CentOS, Debian, 自由, 開放 BSDSUSE, 和 Ubuntu (基本操作系統)

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

WordPress, 鬼, 是啊! 、 PrestaShop、和 Drupal (CMS應用程式)

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

HTTPS-TCP-443-所有 IP 位址

cPanel &WHM(CMS應用程序)

SSH-TCP-22-所有 IP 位址

DNS(UDP)-UDP-53-所有 IP 位址

DNS(TCP)-TCP-53-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

HTTPS-TCP-443-所有 IP 位址

自訂-TCP-2078-所有 IP 位址

自訂-TCP-2083-所有 IP 位址

自訂-TCP-2087-所有 IP 位址

自訂-TCP-2089-所有 IP 位址

LAMP、傑戈、Node.js MEAN GitLab、和尼金克斯 (開發堆疊)

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

HTTPS-TCP-443-所有 IP 位址

Magento 的eCommerce 應用程序

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

HTTPS-TCP-443-所有 IP 位址

Redmine (專案管理應用程式)

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

HTTPS-TCP-443-所有 IP 位址

Plesk (託管堆疊)

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

HTTPS-TCP-443-所有 IP 位址

自訂-TCP-53-所有 IP 位址

自訂-UDP-53-所有 IP 位址

自訂-TCP-8443-所有 IP 位址

自訂-TCP-8447-所有 IP 位址

視窗伺服器 2022、視窗伺服器 2019 及視窗伺服器 2016

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

RDP-TCP-3389-所有 IP 地址

SQL2022 年伺服器速遞、2019 年SQL伺服器快遞和SQL伺服器快遞 2016

SSH-TCP-22-所有 IP 位址

HTTP-TCP-80-所有 IP 位址

RDP-TCP-3389-所有 IP 地址