Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempio: controllo dell'accesso alle istanze in una sottorete
In questo esempio, le istanze nella sottorete possono comunicare tra loro e sono accessibili da un computer remoto affidabile. Il computer remoto potrebbe essere un computer della rete locale o un'istanza in una sottorete diversa oVPC. Viene usato per connettersi alle istanze in modo da eseguire attività amministrative. Le regole del gruppo di sicurezza e ACL le regole di rete consentono l'accesso dall'indirizzo IP del computer remoto (172.31.1.2/32). Tutto il traffico restante da Internet o altre reti viene rifiutato. Questo scenario offre la flessibilità necessaria per modificare i gruppi di sicurezza o le regole dei gruppi di sicurezza per le istanze e utilizzare la rete ACL come livello di difesa di backup.
Di seguito è riportato un esempio di gruppo di sicurezza da associare alle istanze. I gruppi di sicurezza sono stateful. Pertanto non è necessaria una regola che consenta le risposte al traffico in entrata.
Tipo di protocollo |
Protocollo |
Intervallo porte |
Crea |
Commenti |
Tutto il traffico |
Tutti |
Tutti |
sg-1234567890abcdef0 |
Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro. |
SSH |
TCP |
22 |
172.31.1.2/32 |
Consente l'SSHaccesso in entrata dal computer remoto. |
Tipo di protocollo |
Protocollo |
Intervallo porte |
Destinazione |
Commenti |
Tutto il traffico |
Tutti |
Tutti |
sg-1234567890abcdef0 |
Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro. |
Di seguito è riportato un esempio di rete ACL da associare alle sottoreti delle istanze. Le ACL regole di rete si applicano a tutte le istanze della sottorete. ACLsLe reti sono prive di stato. Pertanto, è necessaria una regola che consenta le risposte al traffico in entrata.
Rule # |
Tipo |
Protocollo |
Intervallo porte |
Crea |
Consenti/Nega |
Commenti |
100 |
SSH |
TCP |
22 |
172.31.1.2/32 |
ALLOW |
Permette il traffico SSH in entrata dal computer remoto. |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Nega tutto il traffico in entrata. |
Rule # |
Tipo |
Protocollo |
Intervallo porte |
Destinazione |
Consenti/Nega |
Commenti |
100 |
Personalizzato TCP |
TCP |
1024-65535 |
172.31.1.2/32 |
ALLOW |
Permette risposte in uscita al computer remoto. |
* |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
DENY |
Nega tutto il traffico in uscita. |
Se per errore si rendono troppo permissive le regole del gruppo di sicurezza, la rete ACL in questo esempio continua a consentire l'accesso solo dall'indirizzo IP specificato. Ad esempio, il seguente gruppo di sicurezza contiene una regola che consente l'SSHaccesso in entrata da qualsiasi indirizzo IP. Tuttavia, se si associa questo gruppo di sicurezza a un'istanza in una sottorete che utilizza la reteACL, solo le altre istanze all'interno della sottorete e del computer remoto possono accedere all'istanza, poiché le ACL regole di rete impediscono altro traffico in entrata alla sottorete.
Type |
Protocollo |
Intervallo porte |
Crea |
Commenti |
Tutto il traffico |
Tutti |
Tutti |
sg-1234567890abcdef0 |
Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro. |
SSH |
TCP |
22 |
0.0.0.0/0 |
Consente l'accesso SSH da qualsiasi indirizzo IP. |
Type |
Protocollo |
Intervallo porte |
Destinazione |
Commenti |
Tutto il traffico |
Tutti |
Tutti |
0.0.0.0/0 |
Autorizza tutto il traffico in uscita. |