Passaggio 1: creazione di una lista di controllo degli accessi di rete Passaggio 2: aggiungere regole Passaggio 3: associazione di una sottorete a una lista di controllo degli accessi di rete (Facoltativo) Gestione delle liste di controllo degli accessi di rete con Firewall Manager

Creazione di una lista di controllo accessi di rete per il VPC

Le seguenti attività mostrano come creare una ACL di rete, aggiungere regole e quindi associarla a una sottorete.

Attività

Passaggio 1: creazione di una lista di controllo degli accessi di rete
Passaggio 2: aggiungere regole
Passaggio 3: associazione di una sottorete a una lista di controllo degli accessi di rete
(Facoltativo) Gestione delle liste di controllo degli accessi di rete con Firewall Manager

Passaggio 1: creazione di una lista di controllo degli accessi di rete

Puoi creare una lista di controllo accessi di rete personalizzata dal VPC. Le regole iniziali per una ACL personalizzata bloccano tutto il traffico in entrata e in uscita. La nuova ACL personalizzata non è associata a una sottorete per impostazione predefinita e deve essere associata in modo esplicito alle sottoreti.

Creare una ACL tramite la console

Apri la console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/.
Nel riquadro di navigazione, selezionare Network ACL (lista di controllo accessi di rete).
Seleziona Crea una ACL di rete.
(Facoltativo) In Nome, indica un nome per la lista di controllo degli accessi di rete.
In VPC, seleziona il VPC.
(Facoltativo) In Tag, seleziona Aggiungi tag, dopodiché inserisci la chiave e il valore del tag.
Seleziona Crea una ACL di rete.

Creare una ACL di rete tramite la riga di comando

create-network-acl (AWS CLI)
New-EC2NetworkAcl (AWS Tools for Windows PowerShell)

Passaggio 2: aggiungere regole

Puoi aggiungere regole che abilitano o rifiutano il traffico in entrata o in uscita.

Elaboriamo le regole nell’ordine, partendo dalla regola con il numero più basso. Ti consigliamo di lasciare degli spazi vuoti tra i numeri regola (ad esempio 100, 200, 300), anziché utilizzare numeri in sequenziali (101, 102, 103). Questo semplifica l'aggiunta di una nuova regola senza la necessità di numerare le regole Esistenti.

Se stai utilizzando l'API Amazon EC2 o uno strumento a riga di comando, non puoi modificare le regole. Puoi solo aggiungere ed eliminare regole. Se stai utilizzando la console Amazon VPC, puoi modificare le voci relative alle regole esistenti. La console rimuove la regola esistente e aggiunge una nuova regola automaticamente. Se occorre modificare l'ordine di una regola nella lista di controllo accessi, devi aggiungere una nuova regola con il nuovo numero regola , quindi eliminare la regola originale.

Aggiungere regole a una ACL di rete tramite la console

Apri la console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/.
Nel riquadro di navigazione, selezionare Network ACL (lista di controllo accessi di rete).
Selezionare l'ACL di rete.
Per aggiungere una regola in entrata, effettua le seguenti operazioni:
1. Selezionare la scheda Regole in entrata.
2. Seleziona Modifica regole in entrata, Aggiungi nuova regola.
3. Inserisci un numero della regola che non sia già in uso, un tipo, un protocollo, un intervallo di porte e un’origine, e indica se abilitare o rifiutare il traffico. Per alcuni tipi, il protocollo e la porta vengono compilati automaticamente. Se ti viene richiesto di indicare un intervallo di porte, inserisci un numero di porta o un intervallo di porte (ad esempio, da 49152 a 65535).
  
  Per utilizzare un protocollo non riportato nell’elenco, seleziona Protocollo personalizzato per indicare il tipo, quindi scegli il protocollo. Per ulteriori informazioni, consulta la sezione Numeri di protocollo IANA.
4. Scegli Save changes (Salva modifiche).
Per aggiungere una regola in uscita, effettua le seguenti operazioni:
1. Seleziona la scheda Regole in uscita.
2. Seleziona Modifica regole in uscita, Aggiungi nuova regola.
3. Inserisci un numero della regola che non sia già in uso, un tipo, un protocollo, un intervallo di porte e un’origine, e indica se abilitare o rifiutare il traffico. Per alcuni tipi, il protocollo e la porta vengono compilati automaticamente. Se ti viene richiesto di indicare un intervallo di porte, inserisci un numero di porta o un intervallo di porte (ad esempio, da 49152 a 65535).
  
  Per utilizzare un protocollo non riportato nell’elenco, seleziona Protocollo personalizzato per indicare il tipo, quindi scegli il protocollo. Per ulteriori informazioni, consulta la sezione Numeri di protocollo IANA.
4. Scegli Save changes (Salva modifiche).

Passaggio 3: associazione di una sottorete a una lista di controllo degli accessi di rete

Per applicare le regole di una lista di controllo accessi di rete a una particolare sottorete, occorre associare la sottorete alla lista di controllo accessi di rete. Puoi associare una lista di controllo accessi di rete a più sottoreti. Tuttavia, una sottorete può essere associata a una sola lista di controllo accessi di rete. Eventuali sottoreti non associate a una particolare lista di controllo accessi vengono associate per impostazione predefinita alla lista di controllo accessi di rete predefinita.

Per associare una sottorete a una lista di controllo accessi di rete

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel riquadro di navigazione, scegliere Network ACLs (liste di controllo accessi di rete), quindi selezionare la lista di controllo accessi di rete.
Nel riquadro dei dettagli, nella scheda Associazioni sottorete, seleziona Modifica. Selezionare la casella di controllo Associate (Associa) per la sottorete da associare alla lista di controllo accessi di rete, quindi selezionare Save (Salva).

(Facoltativo) Gestione delle liste di controllo degli accessi di rete con Firewall Manager

AWS Firewall Manager semplifica le attività di amministrazione e manutenzione delle liste di controllo degli accessi alla rete su più account e sottoreti. È possibile utilizzare Firewall Manager per monitorare account e sottoreti all'interno dell'organizzazione e applicare automaticamente le configurazioni delle liste di controllo degli accessi alla rete definite. Firewall Manager è particolarmente utile quando si desidera proteggere l'intera organizzazione o se si aggiungono spesso nuove sottoreti che si desidera proteggere automaticamente da un account amministratore centrale.

Con una policy delle liste di controllo degli accessi alla rete di Firewall Manager, utilizzando un unico account amministratore, è possibile configurare, monitorare e gestire i set di regole minimi che si desidera siano definiti negli ACL di rete utilizzati nell'organizzazione. È possibile specificare quali account e sottoreti dell'organizzazione rientrano nell'ambito della policy di Firewall Manager. Firewall Manager segnala lo stato di conformità delle liste di controllo degli accessi di rete per le sottoreti incluse nell’ambito ed è possibile configurare Firewall Manager per correggere automaticamente le liste di controllo degli accessi alla rete non conformi.

Per ulteriori informazioni, consulta le seguenti risorse nella Guida per gli sviluppatori AWS Firewall Manager:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Rilevamento della MTU del percorso

Gestione delle associazioni delle ACL di rete