Regeln für Netzwerk-ACLs - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regeln für Netzwerk-ACLs

Sie können Regeln zur Standard-Netzwerk-ACL hinzufügen oder daraus entfernen oder ein zusätzliches Netzwerk ACLs für Ihre VPC erstellen. Wenn Sie Regeln zu einer Netzwerk-ACL hinzufügen oder daraus entfernen, werden die Änderungen automatisch auf die mit der Netzwerk-ACL verknüpften Subnetze angewendet.

Eine Netzwerk-ACL-Regel besteht aus folgenden Bestandteilen:

  • Rule number (Regelnummer. Regeln werden nacheinander beginnend mit der niedrigsten Nummer ausgewertet. Sobald der Datenverkehr mit einer Regel übereinstimmt, wird die Regel angewendet. Dabei werden Regeln mit höherer Nummer, die dieser Regel möglicherweise widersprechen, ignoriert.

  • Typ. Die Art des Datenverkehrs, z. B. SSH. Sie können auch den gesamten Datenverkehr oder einen benutzerdefinierten Bereich angeben.

  • Protocol (Protokoll. Sie können ein beliebiges Protokoll mit einer Standardprotokollnummer auswählen. Weitere Informationen finden Sie unter Protocol Numbers. Wenn Sie als Protokoll ICMP auswählen, können Sie beliebige bzw. alle ICMP-Typen und -Codes angeben.

  • Port-Bereich. Der Listening-Port oder Portbereich für den Datenverkehr. Beispiel: 80 für HTTP-Datenverkehr.

  • Quelle. [Nur eingehende Regeln] Die Quelle des Datenverkehrs (CIDR-Bereich).

  • Ziel. [Nur ausgehende Regeln] Das Ziel für den Datenverkehr (CIDR-Bereich).

  • Erlauben/Verweigern. Gibt an, ob der angegebene Datenverkehr erlaubt oder verweigert werden soll.

Beachten Sie beim Hinzufügen und Löschen von Netzwerk-ACL-Regeln Folgendes.

Überlegungen

  • Wenn Sie eine Regel zu einer ACL hinzufügen oder daraus löschen, sind alle Subnetze, die der ACL zugeordnet sind, von dieser Änderung betroffen. Die Änderungen werden nach kurzer Zeit wirksam.

  • Wenn Sie eine Regel mithilfe eines Befehlszeilentools oder der EC2 Amazon-API hinzufügen, wird der CIDR-Bereich automatisch in seine kanonische Form geändert. Wenn Sie beispielsweise 100.68.0.18/18 für den CIDR-Bereich angeben, erstellen wir eine Regel mit dem CIDR-Bereich 100.68.0.0/18.

  • Möglicherweise möchten Sie eine Ablehnungsregel hinzufügen, wenn Sie eine Vielzahl von Ports öffnen müssen, aber es innerhalb des Bereichs bestimmte Ports gibt, die Sie verweigern möchten. Achten Sie darauf, der Ablehnungsregel eine niedrigere Zahl zuzuweisen als der Regel, die den breiteren Bereich des Portverkehrs zulässt.

  • Seien Sie vorsichtig, wenn Sie Regeln gleichzeitig zu einer Netzwerk-ACL hinzufügen und daraus löschen. Wenn Sie Regeln für eingehenden oder ausgehenden Datenverkehr löschen und dann mehr neue Einträge hinzufügen, als zulässig sind (siehe)Amazon VPC-Kontingente, werden die zum Löschen ausgewählten Einträge entfernt und keine neuen Einträge hinzugefügt. Dies kann zu unerwarteten Verbindungsproblemen führen und den Zugriff auf und von Ihrer VPC verhindern.