Поиск по сайту:

Как создать группу безопасности (SG) и список контроля доступа к сети (NACL) в AWS

На этой странице

  1. Что будем делать?
  2. Войти в AWS
  3. Создание группы безопасности
  4. Создание списка контроля доступа к сети
  5. Заключение

Группы безопасности (SG) и списки управления доступом к сети (NACL) — это функции, которые поставляются с виртуальным частным облаком (VPC) в Amazon Web Services (AWS).

SG действует как брандмауэр для нашего экземпляра, чтобы контролировать или ограничивать входящий и исходящий трафик. Когда мы запускаем экземпляр в VPC, мы можем назначить этому экземпляру до пяти групп безопасности. Группы безопасности действуют на уровне экземпляра, а не на уровне подсети. Если мы не укажем конкретную группу во время запуска, экземпляр автоматически назначается группе безопасности VPC по умолчанию.

Мы можем добавить в SG правила, контролирующие входящий трафик к инстансам, и отдельный набор правил, контролирующий исходящий трафик.

NACL — это дополнительный уровень безопасности для VPC, который действует как брандмауэр для контроля входящего и исходящего трафика одной или нескольких подсетей. Мы можем настроить NACL с правилами, аналогичными SG, чтобы добавить дополнительный уровень безопасности в подсети.

Прежде чем приступить к созданию SG и NACL, давайте посмотрим на разницу между ними обоими.

  1. SG работает на уровне экземпляра, тогда как NACL работает на уровне подсети.
  2. SG поддерживает только разрешающие правила, а NACL поддерживает разрешающие и запрещающие правила.
  3. SG оценивает все правила перед принятием решения о разрешении трафика, а в NACL правила обрабатываются в порядке номеров при принятии решения о разрешении трафика.
  4. SG применяется к экземпляру, только если кто-то указывает группу безопасности, тогда как NACL автоматически применяется ко всем экземплярам в подсетях, с которыми он связан.

В этой статье мы увидим шаги по созданию SG и NACL.

Предпосылки

  1. Аккаунт AWS (создайте, если у вас его нет). 

Что мы будем делать?

  1. Войдите в AWS.
  2. Создание группы безопасности
  3. Создайте список контроля доступа к сети.

Войти в АВС

  1. Нажмите здесь, чтобы перейти на страницу входа в AWS.

Когда мы перейдем по приведенной выше ссылке, мы увидим следующую веб-страницу, где нам необходимо войти в систему, используя наши данные для входа.

После успешного входа в AWS мы увидим главную консоль со всеми перечисленными ниже службами.

Создать группу безопасности

Чтобы создать SG, нажмите «Сервис» в верхней строке меню, найдите «VPC» и нажмите на результат.

На главной панели управления VPC нажмите \Группа безопасности\ на левой панели, чтобы создать свою первую группу безопасности.

Нажмите «Создать группу безопасности», чтобы создать ее.

Дайте имя создаваемой группе безопасности вместе с ее описанием, которое может помочь понять ее назначение.

После создания группы безопасности вы увидите следующий экран. Щелкните ссылку идентификатора группы безопасности, чтобы перейти к SG и добавить правила для входящих и исходящих подключений.

Здесь нажмите «Правила для входящих подключений», доступные в нижнем меню рядом с описанием, и нажмите «Редактировать правила», чтобы добавить правила в эту SG.

Вы можете выбрать тип добавляемого правила, его порт/диапазон портов. В Источнике вы можете выбрать либо \Мой IP\, \Пользовательский\ или \Где угодно\, это решает, разрешен ли источник. Добавьте описание, которое поможет понять цель добавленного правила. Когда вы закончите с добавлением нужного правила, нажмите «Сохранить правила».

Так же, как мы добавили правила для входящих подключений, можно также добавить правила для исходящих подключений.

Создайте список контроля доступа к сети

Чтобы создать NACL, нажмите «Сетевые ACL» на левой панели.

Дайте имя NACL и выберите VPC, к которому будет применяться этот NACL, и нажмите «Создать».

Выберите только что созданный NACL и нажмите «Правила для входящих подключений» в нижнем меню.

Добавьте номер правила, который определяет приоритет над другими правилами. Наименьшее число имеет наивысший приоритет. Здесь первое правило имеет Приоритет 1 для порта 22 как Запретить. Это означает, что даже если второе правило имеет Разрешить для всех (0.0.0.0/0) с более низким приоритетом, это второе правило не окажет никакого влияния на источник первого правила и по-прежнему будет запрещать источнику первого правила. Будьте очень осторожны при добавлении к ним правил и номеров правил. Закончив с добавлением всех необходимых правил, нажмите «Создать».

Вы можете выполнить те же действия, чтобы добавить исходящие правила.

Заключение

В этой статье мы увидели шаги по созданию SG и NACL. Создать SG или NACL очень просто, но будьте очень осторожны при добавлении к ним правил, особенно к NACL.