本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
定制網絡 ACLs
下列範例顯示IPv4僅支援ACLVPC的自訂網路。它包括允許HTTP和HTTPS流量(100 和 110)的入站規則。也有對應的傳出規則,可啟用對上述傳入流量的回應 (140),其涵蓋暫時性連接埠 32768-65535。如需如何選取適當的暫時性連接埠範圍的詳細資訊,請參閱暫時性連接埠。
網路ACL還包括允許SSH和RDP流入子網路的輸入規則。傳出規則 120 可讓回應離開子網路。
網路ACL具有輸出規則 (100 和 110),允許輸出HTTP和HTTPS流量從子網路傳出。也有對應的傳入規則,可啟用對上述傳出流量的回應 (140),其涵蓋暫時性連接埠 32768-65535。
每個網路都ACL包含一個預設規則,其規則編號為星號。此規則可確保在封包未符合任何其他規則時拒絕該封包。您無法修改或移除這項規則。
| 規則 # | 類型 | 通訊協定 | 連接埠範圍 | 來源 | 允許/拒絕 | 說明 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
允許來自任何IPv4地址的入站HTTP流量。 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
允許來自任何IPv4地址的入站HTTPS流量。 |
|
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
ALLOW |
允許來自家用網路公用IPv4位址範圍 (透過網際網路閘道) 的輸入SSH流量。 |
|
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
ALLOW |
允許從家用網路的公用IPv4位址範圍 (透過網際網路閘道) 傳入網頁伺服器的RDP流量。 |
|
140 |
自訂 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
允許來自網際網路的入埠傳回IPv4流量 (亦即,針對來自子網路的要求)。 此範圍僅為範例。 |
|
* |
所有流量 |
全部 |
全部 |
0.0.0.0/0 |
DENY |
拒絕所有尚未由先前規則處理的輸入IPv4流量 (無法修改)。 |
| 規則 # | 類型 | 通訊協定 | 連接埠範圍 | 目的地 | 允許/拒絕 | 說明 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
允許從子網路到網際網路的輸出IPv4HTTP流量。 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
允許從子網路到網際網路的輸出IPv4HTTPS流量。 |
| 120 | SSH |
TCP |
1024-65535 |
192.0.2.0/24 |
ALLOW |
允許傳回SSH流量到您家用網路的公用IPv4位址範圍 (透過網際網路閘道)。 |
|
140 |
自訂 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
允許對網際網路上的用戶端進行輸出IPv4回應 (例如,將網頁提供給在子網路中造訪 Web 伺服器的使用者)。 此範圍僅為範例。 |
|
* |
所有流量 |
全部 |
全部 |
0.0.0.0/0 |
DENY |
拒絕所有尚未由先前規則處理的輸出IPv4流量 (無法修改)。 |
當封包來到子網路時,我們會根據與子網路相關聯的入埠規則來評估它 (從規則清單的頂端開始,然後移至底部)。ACL以下是如果數據包用於HTTPS端口(443),評估的方式如何進行。封包不符合第一個評估規則 (規則 100)。它符合第二個規則 (110),其允許封包進入子網路。如果封包的目的地是連接埠 139 (NetBIOS),則不符合任何規則,而 * 規則最終會拒絕封包。
如果您需要開放範圍很廣的連接埠,但該範圍內有您要拒絕的特定連接埠,則您可能想要新增拒絕規則。您只要比允許廣泛連接埠流量的規則更早在資料表中放入拒絕規則即可。
您可以新增允許規則,視您的使用案例而定。例如,您可以新增規則,允許在連接埠 53 上輸出TCP和UDP存取以進行DNS解析。對於每個新增的規則,請確定其中設有允許回應流量的傳入或傳出規則。
下列範例顯示具有關聯IPv6CIDR區塊VPC的自訂網路ACL。該網絡ACL包括所有IPv6HTTP和HTTPS流量的規則。在此情況下,會在IPv4流量的現有規則之間插入新規則。您也可以在規則之後將規則新增為數目較高的IPv4規則。IPv4和IPv6流量是分開的,因此IPv4流量的任何規則都不適用於IPv6流量。
| 規則 # | 類型 | 通訊協定 | 連接埠範圍 | 來源 | 允許/拒絕 | 說明 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
允許來自任何IPv4地址的入站HTTP流量。 |
|
105 |
HTTP |
TCP |
80 |
::/0 |
ALLOW |
允許來自任何IPv6地址的入站HTTP流量。 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
允許來自任何IPv4地址的入站HTTPS流量。 |
|
115 |
HTTPS |
TCP |
443 |
::/0 |
ALLOW |
允許來自任何IPv6地址的入站HTTPS流量。 |
|
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
ALLOW |
允許來自家用網路公用IPv4位址範圍 (透過網際網路閘道) 的輸入SSH流量。 |
|
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
ALLOW |
允許從家用網路的公用IPv4位址範圍 (透過網際網路閘道) 傳入網頁伺服器的RDP流量。 |
|
140 |
自訂 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
允許來自網際網路的入埠傳回IPv4流量 (亦即,針對來自子網路的要求)。 此範圍僅為範例。 |
|
145 |
自訂 TCP | TCP | 32768-65535 | ::/0 | ALLOW |
允許來自網際網路的入埠傳回IPv6流量 (亦即,針對來自子網路的要求)。 此範圍僅為範例。 |
|
* |
所有流量 |
全部 |
全部 |
0.0.0.0/0 |
DENY |
拒絕所有尚未由先前規則處理的輸入IPv4流量 (無法修改)。 |
|
* |
所有流量 |
全部 |
全部 |
::/0 |
DENY |
拒絕所有尚未由先前規則處理的輸入IPv6流量 (無法修改)。 |
| 規則 # | 類型 | 通訊協定 | 連接埠範圍 | 目的地 | 允許/拒絕 | 說明 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
ALLOW |
允許從子網路到網際網路的輸出IPv4HTTP流量。 |
|
105 |
HTTP |
TCP |
80 |
::/0 |
ALLOW |
允許從子網路到網際網路的輸出IPv6HTTP流量。 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
ALLOW |
允許從子網路到網際網路的輸出IPv4HTTPS流量。 |
|
115 |
HTTPS |
TCP |
443 |
::/0 |
ALLOW |
允許從子網路到網際網路的輸出IPv6HTTPS流量。 |
|
140 |
自訂 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
ALLOW |
允許對網際網路上的用戶端進行輸出IPv4回應 (例如,將網頁提供給在子網路中造訪 Web 伺服器的使用者)。 此範圍僅為範例。 |
|
145 |
自訂 TCP |
TCP |
32768-65535 |
::/0 |
ALLOW |
允許對網際網路上的用戶端進行輸出IPv6回應 (例如,將網頁提供給在子網路中造訪 Web 伺服器的使用者)。 此範圍僅為範例。 |
|
* |
所有流量 |
全部 |
全部 |
0.0.0.0/0 |
DENY |
拒絕所有尚未由先前規則處理的輸出IPv4流量 (無法修改)。 |
|
* |
所有流量 |
全部 |
全部 |
::/0 |
DENY |
拒絕所有尚未由先前規則處理的輸出IPv6流量 (無法修改)。 |
自訂網路ACLs及其他 AWS 服務
如果您建立自訂網路ACL,請注意該網路可能會對您使用其他 AWS 服務建立的資源造成什麼影響。
使用 Elastic Load Balance 時,如果後端執行個體的子網ACL路具有網路,您已針對來源為子網路0.0.0.0/0或子網路的所有流量新增拒絕規則CIDR,負載平衡器就無法對執行個體執行健康狀態檢查。如需有關負載平衡器和後端執行個體建議之網路ACL規則的詳細資訊,請參閱傳統ACLs負載平衡器使用者指南VPC中的《負載平衡器網路》。
