终止支持通知:2026年5月20日, AWS 将终止对Amazon Inspector Classic的支持。2026 年 5 月 20 日之后,您将无法再访问亚马逊 Inspector Classic 控制台或亚马逊 Inspector Classic 资源。Amazon Inspector Classic 不再适用于新账户和在过去 6 个月内未完成评估的账户。对于所有其他账户,访问权限将在 2026 年 5 月 20 日之前有效,之后您将无法再访问亚马逊 Inspector Classic 控制台或 Amazon Inspector Classic 资源。有关更多信息,请参阅 Amazon Inspector Classic 终止支持。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络可到达性
网络可到达性包中的规则分析您的网络配置以查找您的 EC2 实例的安全漏洞。Amazon Inspector 生成的结果还提供有关限制不安全访问的指导。
网络可访问性规则包使用 AWS 可证明
这些规则生成的结果表明是否可从 Internet(通过 Internet 网关,包括 Application Load Balancer 或经典负载均衡器 后的实例)、VPC 对等连接或 VPN(通过虚拟网关)到达您的端口。这些发现还突出显示了允许潜在恶意访问的网络配置,例如管理不善的安全组 ACLs IGWs、、等。
这些规则有助于自动监控您的 AWS 网络,并确定对您的 EC2 实例的网络访问可能配置错误的位置。通过将此软件包包含在评估运行中,您可以实施详细的网络安全检查,而无需安装扫描仪和发送数据包,这些数据包既复杂又昂贵,尤其是在跨VPC对等连接和 VPNs。
重要
利用此规则包,无需 Amazon Inspector Classic 代理即可评估您的 EC2 实例。但是,安装的代理可以提供有关侦听端口的任何进程的存在性的信息。请勿在 Amazon Inspector Classic 不支持的操作系统上安装代理。如果运行不受支持的操作系统的实例上存在代理,则网络可到达性规则包将不适用于该实例。
有关更多信息,请参阅 支持的操作系统的 Amazon Inspector Classic 规则包。
分析的配置
网络可到达性规则分析以下实体的配置是否存在漏洞:
可到达性路由
网络可到达性规则将检查以下可到达性路由,这些路由对应于从 VPC 外部访问端口的方式:
-
Internet- Internet 网关(包括 Application Load Balancer 和经典负载均衡器) -
PeeredVPC- VPC 对等连接 -
VGW- 虚拟专用网关
结果类型
包括网络可到达性规则包的评估可以为每个可到达性路由返回以下类型的结果:
RecognizedPort
通常用于已知服务的端口是可访问的。如果代理位于目标 EC2 实例上,则生成的结果还将指示端口上是否存在活动的侦听进程。根据已知服务的安全影响为此类型的结果给出严重级别:
-
RecognizedPortWithListener– 可通过特定的网络组件从公共 Internet 外部访问已识别的端口,并且进程正在监听该端口。 -
RecognizedPortNoListener– 可通过特定网络组件从公共 Internet 外部访问端口,并且没有侦听此端口的进程。 -
RecognizedPortNoAgent– 可通过特定的网络组件从公共 Internet 外部访问端口。如果不在目标实例上安装代理,则无法确定是否存在侦听端口的进程。
下表显示已识别端口的列表:
|
服务 |
TCP 端口 |
UDP 端口 |
|---|---|---|
|
SMB |
445 |
445 |
|
NetBIOS |
137、139 |
137、138 |
|
LDAP |
389 |
389 |
|
LDAP over TLS |
636 |
|
|
全局目录 LDAP |
3268 |
|
|
全局目录 LDAP over TLS |
3269 |
|
|
NFS |
111、2049、4045、1110 |
111、2049、4045、1110 |
|
Kerberos |
88、464、543、544、749、751 |
88、464、749、750、751、752 |
|
RPC |
111、135、530 |
111、135、530 |
|
WINS |
1512、42 |
1512、42 |
|
DHCP |
67、68、546、547 |
67、68、546、547 |
|
Syslog |
601 |
514 |
|
打印服务 |
515 |
|
|
Telnet |
23 |
23 |
|
FTP |
21 |
21 |
|
SSH |
22 |
22 |
|
RDP |
3389 |
3389 |
|
MongoDB |
27017、27018、27019、28017 |
|
|
SQL Server |
1433 |
1434 |
|
MySQL |
3306 |
|
|
PostgreSQL |
5432 |
|
|
Oracle |
1521、1630 |
|
|
Elasticsearch |
9300、9200 |
|
|
HTTP |
80 | 80 |
|
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
上表中未列出的端口是可访问的,并且该端口上具有活动的侦听进程。由于此类型的结果显示有关侦听进程的信息,因此仅当目标 EC2 实例上安装了 Amazon Inspector 代理时可生成它们。将为此类型的结果给定低严重级别。
NetworkExposure
此类型的结果显示有关您的 EC2 实例上可访问的端口的聚合信息。对于 EC2 实例上弹性网络接口和安全组的每个组合,这些结果显示可访问的 TCP 和 UDP 端口范围组。此类型的结果具有严重级别信息。
