支援結束通知：2026 年 5 月 20 日， AWS 將結束對 Amazon Inspector Classic 的支援。2026 年 5 月 20 日之後，您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。Amazon Inspector Classic 不再提供給過去 6 個月內未完成評估的新帳戶和帳戶。對於所有其他帳戶，存取將持續有效至 2026 年 5 月 20 日，之後您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。如需詳細資訊，請參閱 [Amazon Inspector Classic 終止支援](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路連線能力
<a name="inspector_network-reachability"></a>

Network Reachability 套件中的規則會分析您的網路組態，以尋找 EC2 執行個體的安全漏洞。Amazon Inspector 產生的調查結果也可指導您如何限制不安全的存取。

Network Reachability 規則套件使用 AWS [來自 Provable Security](https://aws.amazon.com/security/provable-security/) 計畫的最新技術。

這些規則產生的調查結果可顯示，您的連接埠是否可從網際網路透過網際網路閘道 (包括 Application Load Balancer 或 Classic Load Balancer 後面的執行個體)、VPC 互連連線或經由虛擬閘道的 VPN 加以連線。這些調查結果也特別指出放任可能惡意存取的網路組態，例如管理不善的安全群組、ACL、IGW 等等。

這些規則有助於自動化 AWS 網路的監控，並識別 EC2 執行個體的網路存取可能設定錯誤的位置。您可以將此套件納入評估執行中，以實作詳細的網路安全性檢查，而無需安裝掃描器和傳送封包，這維護起來很複雜又昂貴，尤其是透過 VPC 對等連線和 VPN。

**重要**  
使用此規則套件評估 EC2 執行個體時，不需要 Amazon Inspector Classic 代理程式。不過，安裝代理程式可提供是否有任何程序在接聽連接埠的相關資訊。請勿在 Amazon Inspector Classic 不支援的作業系統上安裝 代理程式。如果代理程式存在於執行不支援作業系統的執行個體上，網路連線能力規則套件將無法在該執行個體上運作。

如需詳細資訊，請參閱[支援作業系統的 Amazon Inspector Classic 規則套件](inspector_rule-packages_across_os.md)。

## 分析的組態
<a name="inspector_network-reachability-configurations"></a>

網路連線能力規則會分析以下實體的組態是否有漏洞：
+ [Amazon EC2 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [Application Load Balancer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html#alb)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Elastic Load Balancer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html)
+ [彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [網際網路閘道 (IGW)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [網路存取控制清單 (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [安全群組 (SG)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [子網路](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [虛擬私有雲端 (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [虛擬私有閘道 (VGW)](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [VPC 對等連接](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)

## 連線能力路由
<a name="inspector_network-reachability-Types"></a>

網路連線能力規則會檢查以下連線能力路由，這對應於從 VPC 外部可存取連接埠的方式：
+ **`Internet`** - 網際網路閘道 (包括 Application Load Balancer 和 Classic Load Balancer)
+ **`PeeredVPC`** - VPC 對等連線
+ **`VGW`** - 虛擬私有閘道

## 問題清單類型
<a name="inspector_network-reachability-types"></a>

含有網路連線能力規則套件的評估可針對每個連線能力路由，傳回以下類型的調查結果：
+ [`RecognizedPort`](#inspector_network-reachability-types-1)
+ [`UnrecognizedPortWithListener`](#inspector_network-reachability-types-2)
+ [`NetworkExposure`](#inspector_network-reachability-types-3)

### `RecognizedPort`
<a name="inspector_network-reachability-types-1"></a>

通常用於知名服務的連接埠都可連線。如果目標 EC2 執行個體上有代理程式，產生的調查結果也會指出連接埠上是否有作用中的接聽程序。根據知名服務的安全影響，此類型的調查結果會獲得一個嚴重等級：
+ **`RecognizedPortWithListener`** – 已辨識的連接埠可透過特定聯網元件從公有網際網路外部連線，而程序正在接聽連接埠。
+ **`RecognizedPortNoListener`** – 連接埠可透過特定聯網元件從公有網際網路外部連線，而且沒有監聽連接埠的程序。
+ **`RecognizedPortNoAgent`** – 連接埠可透過特定聯網元件從公有網際網路外部連線。如果沒有在目標執行個體上安裝代理程式，則無法判斷是否有程序在連接埠上接聽。

下表為認可的連接埠清單：


|  服務  |  TCP 連接埠  |  UDP 連接埠  | 
| --- | --- | --- | 
|  SMB  |  445  |  445  | 
|  NetBIOS  |  137、139  |  137、138  | 
|  LDAP  |  389  |  389  | 
|  透過 TLS 的 LDAP  |  636  |  | 
|  通用類別目錄 LDAP  |  3268  |  | 
|  透過 TLS 的通用類別目錄 LDAP  |  3269  |  | 
|  NFS  |  111、2049、4045、1110  |  111、2049、4045、1110  | 
|  Kerberos  |  88、464、543、544、749、751  |  88、464、749、750、751、752  | 
|  RPC  |  111、135、530  |  111、135、530  | 
|  WINS  |  1512、42  |  1512、42  | 
|  DHCP  |  67、68、546、547  |  67、68、546、547  | 
|  Syslog  |  601  |  514  | 
|  列印服務  |  515  |  | 
|  Telnet  |  23  |  23  | 
|  FTP  |  21  |  21  | 
|  SSH  |  22  |  22  | 
|  RDP  |  3389  |  3389  | 
|  MongoDB  |  27017、27018、27019、28017  |  | 
|  SQL Server  |  1433  |  1434  | 
|  MySQL  |  3306  |  | 
|  PostgreSQL  |  5432  |  | 
|  Oracle  |  1521、1630  |  | 
|  Elasticsearch  |  9300、9200  |  | 
|  HTTP  | 80 | 80 | 
|  HTTPS  | 443 | 443 | 

### `UnrecogizedPortWithListener`
<a name="inspector_network-reachability-types-2"></a>

可連線至上表未列出的連接埠，且其擁有作用中的接聽程序。由於此類型的調查結果顯示監聽程序的相關資訊，因此只有在目標 EC2 執行個體上安裝 Amazon Inspector 代理程式時，才能產生這些程序。此類型的調查結果會獲得 **Low (低)** 嚴重等級。

### `NetworkExposure`
<a name="inspector_network-reachability-types-3"></a>

此類型的調查結果會顯示 EC2 執行個體上可存取之連接埠的彙總資訊。對於 EC2 執行個體上的每個彈性網路介面和安全群組組合，這些調查結果會顯示一組可連線的 TCP 和 UDP 連接埠範圍。此類型的調查結果具有 **Informational (參考)** 嚴重等級。