Liste di controllo accessi di rete personalizzate per il VPC
Puoi creare una lista personalizzata di controllo degli accessi di rete e associarla a una sottorete per consentire o negare traffico specifico in entrata o in uscita al livello di sottorete. Per ulteriori informazioni, consulta Creazione di una lista di controllo accessi di rete per il VPC.
Ogni ACL di rete include una regola in entrata e una regola in uscita predefinite in cui il numero della regola è un asterisco (*). Queste regole garantiscono che se un pacchetto non corrisponde a nessuna delle altre regole verrà rifiutato.
Puoi modificare una ACL di rete aggiungendo o eliminando regole. Non puoi eliminare una regola in cui il numero della stessa è un asterisco.
Per ogni regola aggiunta deve esserci una regola in entrata o una regola in uscita che abiliti il traffico di risposta. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.
Regole in entrata di esempio
La tabella seguente mostra esempi di regole in entrata per una lista di controllo degli accessi di rete. Le regole per IPv6 vengono aggiunte solo se il VPC dispone di un intervallo CIDR IPv6 associato. Il traffico IPv4 viene valutato separatamente dal traffico IPv6. Pertanto, nessuna delle regole per il traffico IPv4 si applica al traffico IPv6. Puoi aggiungere regole IPv6 accanto alle regole IPv4 corrispondenti o aggiungere le regole IPv6 dopo l’ultima regola IPv4.
Non appena un pacchetto arriva nella sottorete, lo valutiamo rispetto alle regole in entrata della ACL di rete associata alla sottorete, partendo dalla regola con il numero più basso. Supponiamo, ad esempio, che vi sia traffico IPv4 destinato alla porta HTTPS (443). Il pacchetto non corrisponde alla regola 100 o 105. Corrisponde alla regola 110, che consente al traffico di entrare nella sottorete. Se il pacchetto era destinato alla porta 139 (NetBIOS), non corrisponde a nessuna delle regole numerate, quindi la regola * per il traffico IPv4 rifiuterà il pacchetto.
| Rule # | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
PERMETTI |
Consente traffico HTTP in entrata da qualunque indirizzo IPv4. |
105 |
HTTP |
TCP |
80 |
::/0 |
PERMETTI |
Permette traffico HTTP in entrata da qualunque indirizzo IPv6. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
PERMETTI |
Consente traffico HTTPS in entrata da qualsiasi indirizzo IPv4. |
115 |
HTTPS |
TCP |
443 |
::/0 |
PERMETTI |
Permette traffico HTTPS in entrata da qualsiasi indirizzo IPv6. |
120 |
SSH |
TCP |
22 |
|
PERMETTI |
Consente traffico SSH in entrata dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway). |
140 |
TCP personalizzato |
TCP |
|
0.0.0.0/0 |
PERMETTI |
Abilita traffico IPv4 di ritorno in entrata da Internet (per richieste che hanno origine nella sottorete). |
145 |
TCP personalizzato |
TCP |
|
::/0 |
ALLOW |
Abilita traffico IPv6 di ritorno in entrata da Internet (per richieste che hanno origine nella sottorete). |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
RIFIUTA |
Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile). |
* |
Tutto il traffico |
Tutti |
Tutti |
::/0 |
RIFIUTA |
Rifiuta tutto il traffico IPv6 in entrata che non è già gestito da una regola precedente (non modificabile). |
Regole in uscita di esempio
La tabella seguente mostra esempi di regole in uscita per una ACL di rete personalizzata. Le regole per IPv6 vengono aggiunte solo se il VPC dispone di un intervallo CIDR IPv6 associato. Il traffico IPv4 viene valutato separatamente dal traffico IPv6. Pertanto, nessuna delle regole per il traffico IPv4 si applica al traffico IPv6. Puoi aggiungere regole IPv6 accanto alle regole IPv4 corrispondenti o aggiungere le regole IPv6 dopo l’ultima regola IPv4.
| Rule # | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
PERMETTI |
Permette traffico HTTP IPv4 in uscita dalla sottorete a Internet. |
105 |
HTTP |
TCP |
80 |
::/0 |
PERMETTI |
Permette traffico HTTP IPv6 in uscita dalla sottorete a Internet. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
PERMETTI |
Permette traffico HTTPS IPv4 in uscita dalla sottorete a Internet. |
115 |
HTTPS |
TCP |
443 |
::/0 |
PERMETTI |
Permette traffico HTTPS IPv6 in uscita dalla sottorete a Internet. |
120 |
TCP personalizzato |
TCP |
|
|
PERMETTI |
Abilita le risposte in uscita per il traffico SSH alla rete privata. |
140 |
TCP personalizzato |
TCP |
|
0.0.0.0/0 |
PERMETTI |
Abilita risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine web). |
145 |
TCP personalizzato |
TCP |
|
::/0 |
ALLOW |
Abilita risposte IPv6 in uscita a client su Internet (ad esempio, distribuzione di pagine web). |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Rifiuta tutto il traffico IPv4 in uscita che non è già gestito da una regola precedente. |
* |
Tutto il traffico |
Tutti |
Tutti |
::/0 |
DENY |
Rifiuta tutto il traffico IPv6 in uscita che non è già gestito da una regola precedente. |
Porte Effimere
La lista di controllo accessi di rete di esempio nella sezione precedente utilizza un intervallo di porte Effimere di 32768-65535. Tuttavia, potrebbe Essere necessario utilizzare un intervallo diverso per le liste di controllo accessi di rete a seconda del tipo di client in uso o con cui si comunica.
Il client che avvia la richiesta sceglie l'intervallo di porte Effimere. L'intervallo varia a seconda del sistema operativo del client.
-
Molti kernel Linux (incluso il kernel Amazon Linux) usano le porte 32768-61000.
-
Le richieste provenienti da Elastic Load Balancing utilizzano le porte 1024-65535.
-
I sistemi operativi Windows tramite Windows Server 2003 utilizzano porte 1025-5000.
-
Windows Server 2008 e versioni successive utilizzano porte 49152-65535.
-
Un gateway NAT utilizza le porte 1024-65535.
-
Le funzioni AWS Lambda utilizzano le porte 1024-65535.
Ad esempio, se una richiesta arriva in un server Web nel VPC da un client Windows 10 su Internet, la lista di controllo degli accessi di rete deve disporre di una regola in uscita per abilitare il traffico destinato alle porte 49152-65535.
Se un’istanza nel VPC è il client che avvia una richiesta, la ACL di rete deve disporre di una regola in entrata per abilitare il traffico destinato alle porte temporanee specifiche per il sistema operativo dell’istanza.
In pratica, per coprire i diversi tipi di client che possono avviare il traffico su istanze rivolte al pubblico nel VPC, puoi aprire porte Effimere 1024-65535. Tuttavia, puoi anche aggiungere regole alla lista di controllo accessi per rifiutare il traffico su porte dannose all'interno di tale intervallo. Accertati di posizionare le regole deny il prima possibile nella tabella rispetto alle regole allow che aprono l'ampio intervallo di porte temporanee.
Liste di controllo accessi (ACL) di rete personalizzati e altri servizi AWS
Se si crea una lista di controllo accessi (ACL) personalizzata, verificare in che modo questa può influire sulle risorse create utilizzando altri servizi AWS.
Con Elastic Load Balancing, se la sottorete per le istanze di back-end dispone di una lista di controllo accessi di rete in cui è stata aggiunta una regola deny per tutto il traffico con un'origine di 0.0.0.0/0 o il CIDR della sottorete, il load balancer non può eseguire controlli di stato sulle istanze. Per ulteriori informazioni sulle regole della ACL di rete consigliate per i bilanciatori del carico e le istanze di backend, consulta:
Risoluzione dei problemi di raggiungibilità
Reachability Analyzer è uno strumento di analisi statica della configurazione. Utilizza questo strumento per analizzare ed eseguire il debug della raggiungibilità di rete tra due risorse nel VPC. Reachability Analyzer produce i dettagli hop-by-hop del percorso virtuale tra queste risorse quando sono raggiungibili; in caso contrario ne identifica il componente di blocco. Ad esempio, è in grado di identificare le regole ACL di rete mancanti o configurate in modo errato.
Per ulteriori informazioni, consulta la Guida di Reachability Analyzer.
