自訂網路 ACLs - Amazon Virtual Private Cloud
自訂網路 ACLs 和其他 AWS 服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自訂網路 ACLs

下列範例顯示僅支援 ACL 的 VPC 自訂網路 IPv4。它包含允許 HTTP 和 HTTPS 流量 (100 和 110) 的傳入規則。也有對應的傳出規則,可啟用對上述傳入流量的回應 (140),其涵蓋暫時性連接埠 32768-65535。如需如何選取適當的暫時性連接埠範圍的詳細資訊,請參閱暫時性連接埠

網路 ACL 也包含允許 SSH 和 RDP 流量傳入子網路的傳入規則。傳出規則 120 可讓回應離開子網路。

網路 ACL 具有傳出規則 (100 和 110),允許傳出 HTTP 和 HTTPS 流量離開子網路。也有對應的傳入規則,可啟用對上述傳出流量的回應 (140),其涵蓋暫時性連接埠 32768-65535。

每個網路 ACL 都包含一個預設規則,其規則編號為星號。此規則可確保在封包未符合任何其他規則時拒絕該封包。您無法修改或移除這項規則。

下表顯示僅支援 ACL 之 VPC 的自訂網路 IPv4 的傳入規則。

規則 # 類型 通訊協定 連接埠範圍 來源 允許/拒絕 說明

100

 HTTP

TCP

80

 0.0.0.0/0

ALLOW

允許來自任何 HTTP 地址的傳入 IPv4 流量。

110

 HTTPS

TCP

443

 0.0.0.0/0

ALLOW

允許來自任何 HTTPS 地址的傳入 IPv4 流量。

120

 SSH

TCP

22

 192.0.2.0/24

ALLOW

允許來自您家用網路公有 SSH 地址範圍的傳入 IPv4 流量 (透過網際網路閘道)。

130

 RDP

TCP

3389

 192.0.2.0/24

ALLOW

允許從您家用網路的公有 RDP 地址範圍 (透過網際網路閘道) 傳入 IPv4 流量至 Web 伺服器。

140

 自訂 TCP

TCP

32768-65535

 0.0.0.0/0

ALLOW

允許來自網際網路的傳入傳回 IPv4 流量 (亦即,對於源自子網路的請求)。

此範圍僅為範例。

*

 所有流量

全部

全部

 0.0.0.0/0

DENY

拒絕先前規則尚未處理的所有傳入 IPv4 流量 (無法修改)。

下表顯示僅支援 ACL 之 VPC 的自訂網路 IPv4 傳出規則。

規則 # 類型 通訊協定 連接埠範圍 目的地 允許/拒絕 說明

100

 HTTP

TCP

80

 0.0.0.0/0

ALLOW

允許從子網路到網際網路的傳出 IPv4 HTTP流量。

110

 HTTPS

TCP

443

 0.0.0.0/0

ALLOW

允許從子網路到網際網路的傳出 IPv4 HTTPS流量。
120 SSH

TCP

1024-65535

 192.0.2.0/24

ALLOW

允許傳出傳回 SSH 流量至您家用網路的公有 IPv4 地址範圍 (透過網際網路閘道)。

140

 自訂 TCP

TCP

32768-65535

 0.0.0.0/0

ALLOW

允許傳出 IPv4 回應網際網路上的用戶端 (例如,將網頁提供給造訪子網路中的 Web 伺服器的人員)。

此範圍僅為範例。

*

 所有流量

全部

全部

 0.0.0.0/0

DENY

拒絕先前規則尚未處理的所有傳出 IPv4 流量 (無法修改)。

當封包到達子網路時,我們會根據子網路所關聯的 ACL 傳入規則進行評估 (從規則清單頂端開始,然後移至底部)。如果封包目的地為 HTTPS 連接埠 (443),則評估方式如下。封包不符合第一個評估規則 (規則 100)。它符合第二個規則 (110),其允許封包進入子網路。如果封包的目的地為連接埠 139 (NetBIOS),則不符合任何規則,且 * 規則最終拒絕封包。

如果您需要開放範圍很廣的連接埠,但該範圍內有您要拒絕的特定連接埠,則您可能想要新增拒絕規則。您只要比允許廣泛連接埠流量的規則更早在資料表中放入拒絕規則即可。

您可以新增允許規則,視您的使用案例而定。例如,您可以新增規則,允許在連接埠 53 上UDP存取傳出 TCP 和 Word,以進行 DNS 解析。對於每個新增的規則,請確定其中設有允許回應流量的傳入或傳出規則。

下列範例顯示具有關聯 ACL 區塊之 VPC 的自訂網路 IPv6 CIDR。此網路 ACL 包含所有 IPv6 HTTP和 HTTPS 流量的規則。在此情況下,新的規則會插入 IPv4 流量的現有規則之間。您也可以在 IPv4 規則之後,將規則新增為較高的數字規則。IPv4 和 IPv6 流量是分開的,因此 IPv4 流量的任何規則都不適用於 IPv6 流量。

下表顯示具有關聯 ACL 區塊之 VPC 的自訂網路 CIDR IPv6 傳入規則。

規則 # 類型 通訊協定 連接埠範圍 來源 允許/拒絕 說明

100

 HTTP

TCP

80

 0.0.0.0/0

ALLOW

允許來自任何 HTTP 地址的傳入 IPv4 流量。

105

HTTP

TCP

80

::/0

ALLOW

允許來自任何 HTTP 地址的傳入 IPv6 流量。

110

 HTTPS

TCP

443

 0.0.0.0/0

ALLOW

允許來自任何 HTTPS 地址的傳入 IPv4 流量。

115

HTTPS

TCP

443

::/0

ALLOW

允許來自任何 HTTPS 地址的傳入 IPv6 流量。

120

 SSH

TCP

22

 192.0.2.0/24

ALLOW

允許來自您家用網路公有 SSH 地址範圍的傳入 IPv4 流量 (透過網際網路閘道)。

130

 RDP

TCP

3389

 192.0.2.0/24

ALLOW

允許從您家用網路的公有 RDP 地址範圍 (透過網際網路閘道) 傳入 IPv4 流量至 Web 伺服器。

140

 自訂 TCP

TCP

32768-65535

 0.0.0.0/0

ALLOW

允許來自網際網路的傳入傳回 IPv4 流量 (亦即,對於源自子網路的請求)。

此範圍僅為範例。

145

 自訂 TCP TCP 32768-65535 ::/0 ALLOW

允許來自網際網路的傳入傳回 IPv6 流量 (亦即,對於源自子網路的請求)。

此範圍僅為範例。

*

 所有流量

全部

全部

 0.0.0.0/0

DENY

拒絕先前規則尚未處理的所有傳入 IPv4 流量 (無法修改)。

*

所有流量

全部

全部

::/0

DENY

拒絕先前規則尚未處理的所有傳入 IPv6 流量 (無法修改)。

下表顯示具有關聯 ACL 區塊之 VPC 的自訂網路 CIDR IPv6 傳出規則。

規則 # 類型 通訊協定 連接埠範圍 目的地 允許/拒絕 說明

100

 HTTP

TCP

80

 0.0.0.0/0

ALLOW

允許從子網路到網際網路的傳出 IPv4 HTTP流量。

105

HTTP

TCP

80

::/0

ALLOW

允許從子網路到網際網路的傳出 IPv6 HTTP流量。

110

 HTTPS

TCP

443

 0.0.0.0/0

ALLOW

允許從子網路到網際網路的傳出 IPv4 HTTPS流量。

115

HTTPS

TCP

443

::/0

ALLOW

允許從子網路到網際網路的傳出 IPv6 HTTPS流量。

140

 自訂 TCP

TCP

32768-65535

 0.0.0.0/0

ALLOW

允許傳出 IPv4 回應網際網路上的用戶端 (例如,將網頁提供給造訪子網路中的 Web 伺服器的人員)。

此範圍僅為範例。

145

自訂 TCP

TCP

32768-65535

::/0

ALLOW

允許傳出 IPv6 回應網際網路上的用戶端 (例如,將網頁提供給造訪子網路 Web 伺服器的人員)。

此範圍僅為範例。

*

 所有流量

全部

全部

 0.0.0.0/0

DENY

拒絕先前規則尚未處理的所有傳出 IPv4 流量 (無法修改)。

*

所有流量

全部

全部

::/0

DENY

拒絕先前規則尚未處理的所有傳出 IPv6 流量 (無法修改)。

自訂網路 ACLs 和其他 AWS 服務

如果您建立自訂網路 ACL,請注意它如何影響您使用其他服務建立的資源 AWS 。

使用 Elastic Load Balancing 時,如果您後端執行個體的子網路具有網路 ACL,其中您已新增了 0.0.0.0/0或子網路 CIDR 來源的所有流量的拒絕規則,則您的負載平衡器無法對執行個體執行運作狀態檢查。如需負載平衡器和後端執行個體的建議網路 ACL 規則的詳細資訊,請參閱 Classic Load Balancer 使用者指南中的 VPC 中的 Network ACLs for Load Balancer。