Exemplos de configuração de ACLs da rede
Esta seção fornece exemplos para configurar as ACLs da redes.
- Negar acesso de uma porta específica
- Permitir acesso a partir de portas e protocolos específicos
- Negar acesso a partir de um endereço IP específico
Negar acesso de uma porta específica
Você pode querer bloquear o TCP 445 para proteger contra os ataques de WannaCry ransomware. Você pode adicionar uma regra de ACLs da rede para negar todo o tráfego de entrada da porta TCP 445.
ACLs da rede Configuração
Direção |
Ação |
Protocolo |
Origem |
Intervalo de porta de origem |
Destino |
Intervalo de porta de destino |
Descrição |
|---|---|---|---|---|---|---|---|
Entrada |
Negar |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
445 |
Nega o tráfego de entrada de qualquer endereço IP através da porta TCP 445. |
Entrada |
Permitir |
Todos |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
Todos |
Permite todo o tráfego de entrada. |
- Por padrão, uma ACLs da rede nega todo o tráfego de entrada. Você precisa permitir todo o tráfego de entrada, se necessário.
- Se quiser que uma regra de negação seja correspondida primeiro, insira a regra de negação acima da regra de permissão. Para mais detalhes, consulte Alteração da sequência de uma regra de ACLs da rede.
Permitir acesso a partir de portas e protocolos específicos
Neste exemplo, um ECS em uma sub-rede é usado como servidor Web e você precisa permitir o tráfego de entrada da porta HTTP 80 e da porta HTTPS 443 e permitir todo o tráfego de saída. Você precisa configurar ambas as regras de ACLs da rede e regras de grupo de segurança para permitir o tráfego.
ACLs da rede Configuração
Tabela 2 lista a regra de entrada necessária.
Direção |
Ação |
Protocolo |
Origem |
Intervalo de porta de origem |
Destino |
Intervalo de porta de destino |
Descrição |
|---|---|---|---|---|---|---|---|
Entrada |
Permitir |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
80 |
Permite o tráfego HTTP de entrada de qualquer endereço IP para ECSs na sub-rede através da porta 80. |
Entrada |
Permitir |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
443 |
Permite o tráfego HTTPS de entrada de qualquer endereço IP para ECSs na sub-rede através da porta 443. |
Saída |
Permitir |
Todos |
0.0.0.0/0 |
Todos |
0.0.0.0/0 |
Todos |
Permite todo o tráfego de saída da sub-rede. |
Configuração do grupo de segurança
Tabela 3 lista as regras de grupo de segurança de entrada e saída necessárias.
Direção |
Protocolo/Aplicação |
Porta |
Origem/Destino |
Descrição |
|---|---|---|---|---|
Entrada |
TCP |
80 |
Origem: 0.0.0.0/0 |
Permite tráfego HTTP de entrada de qualquer endereço IP para ECSs associados ao grupo de segurança por meio da porta 80. |
Entrada |
TCP |
443 |
Origem: 0.0.0.0/0 |
Permite tráfego HTTPS de entrada de qualquer endereço IP para ECSs associados ao grupo de segurança por meio da porta 443. |
Saída |
Todos |
Todos |
Destino: 0.0.0.0/0 |
Permite todo o tráfego de saída do grupo de segurança. |
Uma ACLs da rede adiciona uma camada adicional de segurança. Mesmo que as regras do grupo de segurança permitam mais tráfego do que o realmente necessário, as regras de ACLs da rede permitem apenas o acesso da porta HTTP 80 e da porta HTTPS 443 e negam outro tráfego de entrada.
Negar acesso a partir de um endereço IP específico
Neste exemplo, você pode adicionar uma ACLs da rede regra para negar o acesso de alguns endereços IP anormais, por exemplo, 192.168.1.102.
ACLs da rede Configuração
Direção |
Ação |
Protocolo |
Origem |
Intervalo de porta de origem |
Destino |
Intervalo de porta de destino |
Descrição |
|---|---|---|---|---|---|---|---|
Entrada |
Negar |
TCP |
192.168.1.102/32 |
1-65535 |
0.0.0.0/0 |
Todos |
Nega acesso a partir de 192.168.1.102. |
Entrada |
Permitir |
Todos |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
Todos |
Permite todo o tráfego de entrada. |
- Por padrão, uma ACLs da rede nega todo o tráfego de entrada. Você precisa permitir todo o tráfego de entrada, se necessário.
- Se quiser que uma regra de negação seja correspondida primeiro, insira a regra de negação acima da regra de permissão. Para mais detalhes, consulte Alteração da sequência de uma regra de ACLs da rede.
