Nell'esempio seguente viene mostrata una ACL di rete personalizzata per un VPC che supporta solo IPv4. Include regole in entrata che consentono il traffico HTTP e HTTPS (100 e 110). Esiste una regola in uscita corrispondente che abilita le risposte a tale traffico in entrata (140), che copre le porte temporanee 32768-65535. Per ulteriori informazioni su come selezionare l'intervallo di porte temporanee appropriato, consulta Porte Effimere.
La lista di controllo accessi di rete include anche regole in entrata che consentono traffico SSH e RDP nella sottorete. La regola in uscita 120 consente le risposte in uscita dalla sottorete.
La lista di controllo accessi di rete dispone di regole in uscita (100 e 110) che consentono traffico HTTP e HTTPS in uscita dalla sottorete. Esiste una regola in entrata corrispondente che abilita le risposte a tale traffico in uscita (140), che copre le porte temporanee 32768-65535.
Ogni lista di controllo accessi di rete include una regola predefinita il cui numero regola è un asterisco. Questa regola garantisce che se un pacchetto non corrisponde a nessuna delle altre regole, viene rifiutato. Non puoi modificare né rimuovere questa regola.
La tabella seguente mostra le regole in entrata per una lista di controllo degli accessi alla rete personalizzata per un VPC che supporta solo IPv4.
Rule # | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
PERMETTI |
Consente traffico HTTP in entrata da qualunque indirizzo IPv4. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
PERMETTI |
Consente traffico HTTPS in entrata da qualsiasi indirizzo IPv4. |
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
PERMETTI |
Consente traffico SSH in entrata dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway). |
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
PERMETTI |
Consente traffico RDP in entrata ai server Web dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway). |
140 |
TCP personalizzato |
TCP |
32768-65535 |
0.0.0.0/0 |
PERMETTI |
Consente traffico IPv4 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete). Questo intervallo è solo un esempio. |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
RIFIUTA |
Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile). |
La tabella seguente mostra le regole in uscita per una lista di controllo degli accessi alla rete personalizzata per un VPC che supporta solo IPv4.
Rule # | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
PERMETTI |
Permette traffico HTTP IPv4 in uscita dalla sottorete a Internet. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
PERMETTI |
Permette traffico HTTPS IPv4 in uscita dalla sottorete a Internet. |
120 | SSH |
TCP |
1024-65535 |
192.0.2.0/24 |
PERMETTI |
Consente il traffico SSH di ritorno in uscita verso l'intervallo di indirizzi IPv4 pubblici della rete privata (sul gateway Internet). |
140 |
TCP personalizzato |
TCP |
32768-65535 |
0.0.0.0/0 |
PERMETTI |
Permette risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete). Questo intervallo è solo un esempio. |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Rifiuta tutto il traffico IPv4 in uscita che non è già gestito da una regola precedente (non modificabile). |
Non appena un pacchetto arriva nella sottorete, lo valutiamo rispetto alle regole in ingresso della lista di controllo accessi cui è associata la sottorete (partendo dall'inizio dell'elenco di regole e spostandoci verso la fine). Di seguito viene descritta la valutazione se il pacchetto è destinato alla porta HTTPS (443). Il pacchetto non corrisponde alla prima regola valutata (regola 100). Non corrisponde alla seconda regola (110), che consente il pacchetto nella sottorete. Se il pacchetto era destinato alla porta 139 (NetBIOS), non corrisponde a nessuna delle regole E la regola * rifiuta alla fine il pacchetto.
Potrebbe essere necessario aggiungere una regola deny in una situazione in cui hai legittimamente la necessità di aprire un ampio intervallo di porte, ma alcune di esse sono incluse nell'intervallo di porte che desideri rifiutare. Devi accertarti di posizionare la regola deny il prima possibile nella tabella rispetto alla regola che consente l'ampio intervallo di traffico porta.
Le regole allow vengono aggiunte a seconda del caso d'uso. Ad esempio, è possibile aggiungere una regola che consente l'accesso TCP e UDP in uscita sulla porta 53 per la risoluzione DNS. Per ogni regola aggiunta, verificare che vi sia una regola in entrata e in uscita corrispondente che abiliti il traffico di risposta.
Nell'esempio seguente viene mostrata una ACL di rete personalizzata per un VPC cui è associato un blocco CIDR IPv6. Questa lista di controllo accessi di rete include tutto il traffico HTTP e HTTPS IPv6. In questo caso, sono state inserite nuove regole tra le regole esistenti per il traffico IPv4. È inoltre possibile aggiungere le regole come regole con numeri più alti dopo le regole IPv4. Il traffico IPv4 è separato dal traffico IPv6 e, pertanto, nessuna delle regole per il traffico IPv4 si applica al traffico IPv6.
La tabella seguente mostra le regole in entrata per una lista di controllo degli accessi alla rete personalizzata per un VPC cui è associato un blocco CIDR IPv6.
Rule # | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
PERMETTI |
Consente traffico HTTP in entrata da qualunque indirizzo IPv4. |
105 |
HTTP |
TCP |
80 |
::/0 |
PERMETTI |
Permette traffico HTTP in entrata da qualunque indirizzo IPv6. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
PERMETTI |
Consente traffico HTTPS in entrata da qualsiasi indirizzo IPv4. |
115 |
HTTPS |
TCP |
443 |
::/0 |
PERMETTI |
Permette traffico HTTPS in entrata da qualsiasi indirizzo IPv6. |
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
PERMETTI |
Consente traffico SSH in entrata dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway). |
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
PERMETTI |
Consente traffico RDP in entrata ai server Web dall'intervallo di indirizzi IPv4 pubblici della rete privata (su Internet gateway). |
140 |
TCP personalizzato |
TCP |
32768-65535 |
0.0.0.0/0 |
PERMETTI |
Consente traffico IPv4 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete). Questo intervallo è solo un esempio. |
145 |
TCP personalizzato | TCP | 32768-65535 | ::/0 | ALLOW |
Permette traffico IPv6 di ritorno in entrata da Internet (ovvero, per richieste che originano nella sottorete). Questo intervallo è solo un esempio. |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
RIFIUTA |
Rifiuta tutto il traffico IPv4 in entrata che non è già gestito da una regola precedente (non modificabile). |
* |
Tutto il traffico |
Tutti |
Tutti |
::/0 |
RIFIUTA |
Rifiuta tutto il traffico IPv6 in entrata che non è già gestito da una regola precedente (non modificabile). |
La tabella seguente mostra le regole in uscita per una lista di controllo degli accessi alla rete personalizzata per un VPC cui è associato un blocco CIDR IPv6.
Rule # | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
---|---|---|---|---|---|---|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
PERMETTI |
Permette traffico HTTP IPv4 in uscita dalla sottorete a Internet. |
105 |
HTTP |
TCP |
80 |
::/0 |
PERMETTI |
Permette traffico HTTP IPv6 in uscita dalla sottorete a Internet. |
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
PERMETTI |
Permette traffico HTTPS IPv4 in uscita dalla sottorete a Internet. |
115 |
HTTPS |
TCP |
443 |
::/0 |
PERMETTI |
Permette traffico HTTPS IPv6 in uscita dalla sottorete a Internet. |
140 |
TCP personalizzato |
TCP |
32768-65535 |
0.0.0.0/0 |
PERMETTI |
Permette risposte IPv4 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete). Questo intervallo è solo un esempio. |
145 |
TCP personalizzato |
TCP |
32768-65535 |
::/0 |
PERMETTI |
Permette risposte IPv6 in uscita a client su Internet (ad esempio, distribuzione di pagine Web a persone che visitano i server Web nella sottorete). Questo intervallo è solo un esempio. |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Rifiuta tutto il traffico IPv4 in uscita che non è già gestito da una regola precedente (non modificabile). |
* |
Tutto il traffico |
Tutti |
Tutti |
::/0 |
RIFIUTA |
Rifiuta tutto il traffico IPv6 in uscita che non è già gestito da una regola precedente (non modificabile). |
Liste di controllo accessi (ACL) di rete personalizzati e altri servizi AWS
Se si crea una lista di controllo accessi (ACL) personalizzata, verificare in che modo questa può influire sulle risorse create utilizzando altri servizi AWS.
Con Elastic Load Balancing, se la sottorete per le istanze di back-end dispone di una lista di controllo accessi di rete in cui è stata aggiunta una regola deny per tutto il traffico con un'origine di 0.0.0.0/0
o il CIDR della sottorete, il load balancer non può eseguire controlli di stato sulle istanze. Per ulteriori informazioni sulle regole della lista di controllo accessi di rete consigliate per i load balancer e le istanze di back-end, consulta Liste di controllo degli accessi di rete per sistemi di bilanciamento del carico in un VPC nella Guida per l'utente di Classic Load Balancers.