Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Liste di controllo degli accessi alla rete personalizzate

Modalità Focus
Liste di controllo degli accessi alla rete personalizzate - Amazon Virtual Private Cloud

Nell'esempio seguente viene mostrata una ACL di rete personalizzata per un VPC che supporta solo IPv4. Include regole in entrata che consentono il traffico HTTP e HTTPS (100 e 110). Esiste una regola in uscita corrispondente che abilita le risposte a tale traffico in entrata (140), che copre le porte temporanee 32768-65535. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.

La lista di controllo accessi di rete include anche regole in entrata che consentono traffico SSH e RDP nella sottorete. La regola in uscita 120 consente le risposte in uscita dalla sottorete.

La lista di controllo accessi di rete dispone di regole in uscita (100 e 110) che consentono traffico HTTP e HTTPS in uscita dalla sottorete. Esiste una regola in entrata corrispondente che abilita le risposte a tale traffico in uscita (140), che copre le porte temporanee 32768-65535.

Ogni lista di controllo accessi di rete include una regola predefinita il cui numero regola è un asterisco. Questa regola garantisce che se un pacchetto non corrisponde a nessuna delle altre regole, viene rifiutato. Non puoi modificare né rimuovere questa regola.

La tabella seguente mostra le regole in entrata per una lista di controllo degli accessi alla rete personalizzata per un VPC che supporta solo IPv4.

Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

PERMETTI

Consente traffico HTTP in entrata da qualunque indirizzo IPv4.

110

HTTPS

TCP

443

0.0.0.0/0

PERMETTI

Consente traffico HTTPS in entrata da qualsiasi indirizzo IPv4.

120

SSH

TCP

22

192.0.2.0/24

PERMETTI

Consente traffico SSH in entrata dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

130

RDP

TCP

3389

192.0.2.0/24

PERMETTI

Consente traffico RDP in entrata ai server Web dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

140

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

PERMETTI

Consente traffico IPv4 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete).

Questo intervallo è solo un esempio.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile).

La tabella seguente mostra le regole in uscita per una lista di controllo degli accessi alla rete personalizzata per un VPC che supporta solo IPv4.

Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

PERMETTI

Permette traffico HTTP IPv4 in uscita dalla sottorete a Internet.

110

HTTPS

TCP

443

0.0.0.0/0

PERMETTI

Permette traffico HTTPS IPv4 in uscita dalla sottorete a Internet.

120 SSH

TCP

1024-65535

192.0.2.0/24

PERMETTI

Consente il traffico SSH di ritorno in uscita verso l'intervallo di indirizzi IPv4 pubblici della rete privata (sul gateway Internet).

140

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

PERMETTI

Permette risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

DENY

Rifiuta tutto il traffico IPv4 in uscita che non è già gestito da una regola precedente (non modificabile).

Non appena un pacchetto arriva nella sottorete, lo valutiamo rispetto alle regole in ingresso della lista di controllo accessi cui è associata la sottorete (partendo dall'inizio dell'elenco di regole e spostandoci verso la fine). Di seguito viene descritta la valutazione se il pacchetto è destinato alla porta HTTPS (443). Il pacchetto non corrisponde alla prima regola valutata (regola 100). Non corrisponde alla seconda regola (110), che consente il pacchetto nella sottorete. Se il pacchetto era destinato alla porta 139 (NetBIOS), non corrisponde a nessuna delle regole E la regola * rifiuta alla fine il pacchetto.

Potrebbe essere necessario aggiungere una regola deny in una situazione in cui hai legittimamente la necessità di aprire un ampio intervallo di porte, ma alcune di esse sono incluse nell'intervallo di porte che desideri rifiutare. Devi accertarti di posizionare la regola deny il prima possibile nella tabella rispetto alla regola che consente l'ampio intervallo di traffico porta.

Le regole allow vengono aggiunte a seconda del caso d'uso. Ad esempio, è possibile aggiungere una regola che consente l'accesso TCP e UDP in uscita sulla porta 53 per la risoluzione DNS. Per ogni regola aggiunta, verificare che vi sia una regola in entrata e in uscita corrispondente che abiliti il traffico di risposta.

Nell'esempio seguente viene mostrata una ACL di rete personalizzata per un VPC cui è associato un blocco CIDR IPv6. Questa lista di controllo accessi di rete include tutto il traffico HTTP e HTTPS IPv6. In questo caso, sono state inserite nuove regole tra le regole esistenti per il traffico IPv4. È inoltre possibile aggiungere le regole come regole con numeri più alti dopo le regole IPv4. Il traffico IPv4 è separato dal traffico IPv6 e, pertanto, nessuna delle regole per il traffico IPv4 si applica al traffico IPv6.

La tabella seguente mostra le regole in entrata per una lista di controllo degli accessi alla rete personalizzata per un VPC cui è associato un blocco CIDR IPv6.

Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

PERMETTI

Consente traffico HTTP in entrata da qualunque indirizzo IPv4.

105

HTTP

TCP

80

::/0

PERMETTI

Permette traffico HTTP in entrata da qualunque indirizzo IPv6.

110

HTTPS

TCP

443

0.0.0.0/0

PERMETTI

Consente traffico HTTPS in entrata da qualsiasi indirizzo IPv4.

115

HTTPS

TCP

443

::/0

PERMETTI

Permette traffico HTTPS in entrata da qualsiasi indirizzo IPv6.

120

SSH

TCP

22

192.0.2.0/24

PERMETTI

Consente traffico SSH in entrata dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

130

RDP

TCP

3389

192.0.2.0/24

PERMETTI

Consente traffico RDP in entrata ai server Web dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway).

140

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

PERMETTI

Consente traffico IPv4 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete).

Questo intervallo è solo un esempio.

145

TCP personalizzato TCP 32768-65535 ::/0 ALLOW

Permette traffico IPv6 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete).

Questo intervallo è solo un esempio.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

RIFIUTA

Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile).

*

Tutto il traffico

Tutti

Tutti

::/0

RIFIUTA

Rifiuta tutto il traffico IPv6 in entrata che non è già gestito da una regola precedente (non modificabile).

La tabella seguente mostra le regole in uscita per una lista di controllo degli accessi alla rete personalizzata per un VPC cui è associato un blocco CIDR IPv6.

Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega Commenti

100

HTTP

TCP

80

0.0.0.0/0

PERMETTI

Permette traffico HTTP IPv4 in uscita dalla sottorete a Internet.

105

HTTP

TCP

80

::/0

PERMETTI

Permette traffico HTTP IPv6 in uscita dalla sottorete a Internet.

110

HTTPS

TCP

443

0.0.0.0/0

PERMETTI

Permette traffico HTTPS IPv4 in uscita dalla sottorete a Internet.

115

HTTPS

TCP

443

::/0

PERMETTI

Permette traffico HTTPS IPv6 in uscita dalla sottorete a Internet.

140

TCP personalizzato

TCP

32768-65535

0.0.0.0/0

PERMETTI

Permette risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio.

145

TCP personalizzato

TCP

32768-65535

::/0

PERMETTI

Permette risposte IPv6 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete).

Questo intervallo è solo un esempio.

*

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

DENY

Rifiuta tutto il traffico IPv4 in uscita che non è già gestito da una regola precedente (non modificabile).

*

Tutto il traffico

Tutti

Tutti

::/0

RIFIUTA

Rifiuta tutto il traffico IPv6 in uscita che non è già gestito da una regola precedente (non modificabile).

Liste di controllo accessi (ACL) di rete personalizzati e altri servizi AWS

Se si crea una lista di controllo accessi (ACL) personalizzata, verificare in che modo questa può influire sulle risorse create utilizzando altri servizi AWS.

Con Elastic Load Balancing, se la sottorete per le istanze di back-end dispone di una lista di controllo accessi di rete in cui è stata aggiunta una regola deny per tutto il traffico con un'origine di 0.0.0.0/0 o il CIDR della sottorete, il load balancer non può eseguire controlli di stato sulle istanze. Per ulteriori informazioni sulle regole della lista di controllo accessi di rete consigliate per i load balancer e le istanze di back-end, consulta Liste di controllo degli accessi di rete per sistemi di bilanciamento del carico in un VPC nella Guida per l'utente di Classic Load Balancers.

PrivacyCondizioni del sitoPreferenze cookie
© 2024, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.