本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
暫時性連接埠
上一節中的網路 ACL 範例使用暫時連接埠範圍 32768-65535。不過,視您使用的用戶端類型或您要與之通訊的用戶端類型而定,您可能想要使用不同的網路 ACLs 範圍。
初始化請求的用戶端會選擇暫時性連接埠範圍。範圍需視用戶端作業系統而定。
-
許多 Linux 核心 (包括 Amazon Linux 核心) 使用的連接埠 32768-61000。
-
來自 Elastic Load Balancing 的請求會使用連線埠 1024-65535。
-
Windows 作業系統到 Windows Server 2003 使用連接埠 1025-5000。
-
Windows Server 2008 和更新版本使用連接埠 49152-65535。
-
NAT 閘道使用連接埠 1024-65535。
-
AWS Lambda 函數使用連接埠 1024-65535。
例如,如果請求從網際網路上的 Windows 10 用戶端進入 VPC 中的 Web 伺服器,您的網路 ACL 必須具有傳出規則,才能啟用目的地為連接埠 49152-65535 的流量。
如果 VPC 中的執行個體是啟動請求的用戶端,您的網路 ACL 必須具有傳入規則,才能啟用特定於執行個體類型 (Amazon Linux、Windows Server 2008 等) 的暫時連接埠流量。
實際上,若要涵蓋可能啟動流量至 VPC 中面向公有執行個體的不同類型用戶端,您可以開啟暫時連接埠 1024-65535。不過,您也可以將規則新增至 ACL,以拒絕該範圍內任何惡意連接埠上的流量。請務必比開啟廣泛暫時性連接埠的允許規則更早在資料表中放入拒絕規則。