GNU/Linux >> LINUX-Kenntnisse >  >> Linux

So erstellen Sie eine Sicherheitsgruppe (SG) und eine Netzwerkzugriffskontrollliste (NACL) in AWS

Sicherheitsgruppen (SGs) und Network Access Control Lists (NACLs) sind die Funktionen, die mit Virtual Private Cloud (VPC) in Amazon Web Services (AWS) geliefert werden.

SG fungiert als Firewall für unsere Instanz, um eingehenden und ausgehenden Datenverkehr zu kontrollieren oder einzuschränken. Wenn wir eine Instanz in einer VPC starten, können wir der Instanz bis zu fünf Sicherheitsgruppen zuweisen. Sicherheitsgruppen agieren auf Instanzebene und nicht auf Subnetzebene. Wenn wir beim Start keine bestimmte Gruppe angeben, wird die Instanz automatisch der Standardsicherheitsgruppe der VPC zugewiesen.

Wir können Regeln in der SG hinzufügen, die den eingehenden Datenverkehr zu Instanzen steuern, und einen separaten Regelsatz, der den ausgehenden Datenverkehr steuert.

Eine NACL ist eine optionale Sicherheitsebene für die VPC, die als Firewall fungiert, um den Datenverkehr in und aus einem oder mehreren Subnetzen zu kontrollieren. Wir können NACLs mit ähnlichen Regeln wie SGs einrichten, um dem Subnetz eine zusätzliche Sicherheitsebene hinzuzufügen.

Bevor wir mit der Erstellung einer SG und einer NACL fortfahren, sehen wir uns den Unterschied zwischen beiden an.

  1. SG arbeitet auf Instanzebene, während NACL auf Subnetzebene arbeitet.
  2. SG unterstützt nur Allow-Regeln und NACL unterstützt Allow- und Deny-Regeln.
  3. SG wertet alle Regeln aus, bevor entschieden wird, ob Datenverkehr zugelassen wird, und in NACL-Regeln werden sie in numerischer Reihenfolge verarbeitet, wenn entschieden wird, ob Datenverkehr zugelassen wird.
  4. SG wird nur dann auf eine Instanz angewendet, wenn jemand die Sicherheitsgruppe angibt, während NACL automatisch auf alle Instanzen in den Subnetzen angewendet wird, denen sie zugeordnet ist.

In diesem Artikel sehen wir die Schritte zum Erstellen einer SG und einer NACL.

Voraussetzungen

  1. AWS-Konto (erstellen, falls Sie noch keins haben). 

Was werden wir tun?

  1. Melden Sie sich bei AWS an.
  2. Erstellen Sie eine Sicherheitsgruppe
  3. Erstellen Sie eine Netzwerkzugriffskontrollliste.

Melden Sie sich bei AWS an

  1. Klicken Sie hier, um zur AWS-Anmeldeseite zu gelangen.

Wenn wir auf den obigen Link klicken, sehen wir eine Webseite wie folgt, auf der wir uns mit unseren Anmeldedaten anmelden müssen.

Sobald wir uns erfolgreich bei AWS angemeldet haben, sehen wir die Hauptkonsole mit allen Diensten, die wie folgt aufgelistet sind.

Erstellen Sie eine Sicherheitsgruppe

Um eine SG zu erstellen, klicken Sie auf „Service“ in der oberen Menüleiste, suchen Sie nach „VPC“ und klicken Sie auf das Ergebnis.

Klicken Sie im Haupt-VPC-Dashboard im linken Bereich auf „Sicherheitsgruppe“, um Ihre erste Sicherheitsgruppe zu erstellen.

Klicken Sie auf „Sicherheitsgruppe erstellen“, um sie zu erstellen.

Geben Sie der zu erstellenden Sicherheitsgruppe einen Namen und eine Beschreibung, die helfen kann, den Zweck zu verstehen.

Sobald die Sicherheitsgruppe erstellt wurde, können Sie den folgenden Bildschirm sehen. Klicken Sie auf den Sicherheitsgruppen-ID-Link, um zur SG zu gehen und eingehende und ausgehende Regeln hinzuzufügen.

Klicken Sie hier auf "Eingehende Regeln", die im unteren Menü neben der Beschreibung verfügbar sind, und klicken Sie auf "Regeln bearbeiten", um Regeln in dieser SG hinzuzufügen.

Sie können den Typ der hinzuzufügenden Regel, ihren Port/Portbereich auswählen. In Quelle können Sie entweder "Meine IP", "Benutzerdefiniert" oder "Anywhere" auswählen, dies entscheidet, welche Quelle zugelassen wird. Fügen Sie eine Beschreibung hinzu, die hilft, den Zweck der hinzugefügten Regel zu verstehen. Wenn Sie mit dem Hinzufügen der gewünschten Regel fertig sind, klicken Sie auf "Regeln speichern".

So wie wir eingehende Regeln hinzugefügt haben, können auch ausgehende Regeln hinzugefügt werden.

Erstellen Sie eine Netzwerkzugriffskontrollliste

Um eine NACL zu erstellen, klicken Sie im linken Bereich auf "Netzwerk-ACLs".

Geben Sie der NACL einen Namen und wählen Sie die VPC aus, auf die diese NACL angewendet werden soll, und klicken Sie auf Erstellen.

Wählen Sie die soeben erstellte NACL aus und klicken Sie im unteren Menü auf "Eingehende Regeln".

Regelnummer hinzufügen, die über die Priorität gegenüber anderen Regeln entscheidet. Die niedrigste Nummer hat die höchste Priorität. Hier hat die erste Regel Priorität 1 für Port 22 als Verweigern. Dies bedeutet, dass selbst wenn die zweite Regel Allow for all (0.0.0.0/0) mit niedrigerer Priorität hat, diese zweite Regel keine Auswirkung auf die Quelle der ersten Regel hat und die Quelle der ersten Regel weiterhin verweigert. Seien Sie sehr vorsichtig, wenn Sie ihnen Regeln und Regelnummern hinzufügen. Wenn Sie alle erforderlichen Regeln hinzugefügt haben, klicken Sie auf "Erstellen".

Sie können denselben Schritten folgen, um ausgehende Regeln hinzuzufügen.

Schlussfolgerung

In diesem Artikel haben wir die Schritte zum Erstellen einer SG und einer NACL gesehen. Das Erstellen einer SG oder NACL ist sehr einfach, aber seien Sie sehr vorsichtig beim Hinzufügen der Regeln zu ihnen und insbesondere zu NACL.


Linux

  1. So verwalten und listen Sie Dienste in Linux auf

  2. So erstellen und löschen Sie Benutzergruppen in Linux

  3. Verwalten Sie Sicherheitsgruppen und -regeln

  4. Wie man Iptables-Regeln anzeigt und löscht – List and Flush

  5. Wie steuere ich die Reihenfolge der Netzwerkschnittstellen?

So erstellen Sie eine SQS-Warteschlange auf AWS

So erstellen Sie ein SNS-Thema und einen Abonnenten auf AWS

So erstellen Sie eine DynamoDB-Tabelle in AWS

So installieren und verwalten Sie Evillimiter zur Steuerung Ihres Wi-Fi-Netzwerks unter Linux

So erstellen Sie Gruppen und fügen Berechtigungen im OTRS-Ticketsystem hinzu

Wie vernetzt man Ubuntu und Windows 10?