AWS-安全组-学习笔记

已于 2023-02-09 21:47:53 修改
阅读量1.2k 收藏 1
点赞数
文章标签: aws 安全 学习
于 2023-02-08 23:50:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42230010/article/details/128945275
版权

安全组(Security Group)

在每一个EC2实例创建的过程中,你都会被要求为其指定一个安全组(Security Group)。这个安全组充当了主机的虚拟防火墙作用,能根据协议、端口、源IP地址来过滤EC2实例的入向和出向流量。

通过安全组,你可以定义该EC2实例对外开放哪一些服务端口。比如你可以开放TCP/22端口来用于SSH登陆,或者开放TCP/80端口来用于HTTP服务。

除了使用安全组之外,你还可以继续保留系统原生的防火墙(Linux下的iptable和Windows的防火墙)。

安全组有如下特性:

  • 默认情况下,所有入方向的流量都会被拒绝
  • 默认情况下,所有出方向的流量都会被允许
  • 安全组的规则可以随时添加、删除和更改
  • 更改安全组的设置会马上生效
  • 一个安全组可以应用到多个不同EC2实例上,一个EC2实例也可以使用多个安全组(最多5个安全组,每个安全组50个规则)
  • 安全组是有状态的
    • 如果某个流量被入方向的规则放行,那么无论它的出站规则如何,它的出方向响应流量都会被无条件放行
    • 如果从主机发出去的出站请求,无论入站规则如何,该请求的响应流量都会被无条件放行
  • 你不能使用安全组来禁止某些特定的IP地址访问主机,要达到这个效果需要使用网络访问控制列表(NACL)
  • 在安全组内只能设置允许的条目,不能设置拒绝的条目
  • 安全组的源IP地址可以选择所有IP地址(0.0.0.0/0),特定的IP地址(比如8.8.8.8/24),或者处于同一个VPC中的其他安全组
  • 一个流量只要被安全组的任何一条规则匹配,那么这个流量就会被允许放行
  • 安全组会关联到EC2实例的ENI(网络接口)上

连接跟踪

  • 安全组是有状态的,因此AWS使用连接跟踪来跟踪实例的入向和出向流量
  • 对于入向流量的响应包,会被自动允许从实例出去,无论出向的安全组规则是如何。反之亦然
  • 并不是所有通信都会被跟踪
    • 如果安全组规则允许所有通信 (0.0.0.0/0) 的 TCP 或 UDP 流,并且另一个方向存在允许所有端口 (0-65535) 的所有响应通信 (0.0.0.0/0) 的对应规则,则不会跟踪该通信流。
  • 跟踪的信息流在你删除了安全组规则后并不会马上消失,而可能会持续几分钟(甚至最多5天)
  • 对于除了TCP、UDP或ICMP之外的协议,仅跟踪IP地址和协议编号

举个例子,如下图所定义的安全组规则。

  • 安全组会跟踪TCP/22的入向和出向流量,因为源IP地址定义的是具体的地址(203.0.113.1/32),而不是所有IP地址(0.0.0.0/0)
  • 安全组不会跟踪TCP/80的流量,因为其入向和出向的流量都是针对所有IP地址(0.0.0.0/0)
  • 安全组会跟踪ICMP流量,因为无论规则如何,安全组都会跟踪ICMP流量
入站规则
协议类型端口号源 IP
TCP22 (SSH)203.0.113.1/32
TCP80 (HTTP)0.0.0.0/0
ICMP全部0.0.0.0/0
出站规则
协议类型端口号目的地 IP
全部全部0.0.0.0/0

安全组(Security Group)和网络访问控制列表(Network Access Control List)都扮演了类似的防火墙功能。

Loong_1213
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
AWS_Security_Best_Practices_CN(AWS安全最佳实践).pdf
07-10
本白皮书提供AWS云上安全最佳实践,有助于您定义云上信息安全管理体系,并为您信息安全管理体系构建提供一安全策略和流程,例如,对您在AWS上资产进行标识、分类和保护,使用账户、用户和角色来管理云上的各种资源的访问和权限,并对您在云中的数据、操作系统和应用程序以及整体基础设施提供多种保护方式和方案。
AWS环境搭建(一):创建VPC、子网和安全
热门推荐
zhuyunier的博客
01-18 1万+
一、创建VPC 1、登录AWS,点击服务中的VPC,打开 Amazon VPC 控制台; 2、在导航窗格中,选择 VPC 控制面板。在控制面板中,选择 Launch VPC Wizard (启动 VPC 向导); 3、选择带单个公有子网的VPC,点击选择; 4、在配置页面上的 VPC 名称字段中输入您的 VPC 的名称,并在子网名称字段中输入您的子网的名称,确认信息无误后点击创建; 5、创建成功后...
AWS - Security Group(安全
qq_44356236的博客
06-25 550
EC2实例的安全相关的知识点。
aws安全
weixin_30613343的博客
04-01 3008
aws安全来控制进入和去除的规则。 入站:就是外网访问你出站:就是你访问外网用户可以创建入站和出站规则,从而阻挡或者允许特定程序或者端口进行连接;用户可以将规则应用于一程序、端口或者服务,也可以将规则应用于所有程序或者某个特定程序;可以阻挡某个软件进行所有连接、允许所有连接,或者只允许安全连接,并要求使用加密来保护通过该连接发送的数据的安全性; 可以为入站和出站流量配置源IP地址及目的地I...
AWS security group 和 network ACL
Tom098的博客
05-23 2470
AWS security group 和 network ACL都定义了网络访问规则,用于控制哪些inbond和outbond traffic被允许或者被禁止。不同之处在于: AWS security group:应用于主机的流量访问控制。同一个security group可以跨不同的subnet甚至availability zone,但是不能跨VPC。(一个VPC可以跨多个Availability zone, 一个Availability zone就是一个数据中心,一个region下边可以有多个Ava.
AWS security group允许同内主机访问
梦见唐朝的故事
11-02 1575
其实设置起来很简单,就是在添加端口规则的时候把自己这个security group添加进去就可以了,但是之前添加后也一直没能成功访问,今天终于找到了原因:访问时候要使用内网IP地址,因为如果使用外网IP地址的话,就会先经过路由到外网后再访问回来,就导致不是同一个security group内的地址了,所以访问失败。
aws-sdk-jest:aws-sdk模块的通用Jest模拟
05-05
@ mapbox / aws-sdk-jest aws-sdk模块的通用Jest模拟。如何设定将此模块安装为devDependency npm install -D @mapbox/aws-sdk-jest 。 在test/__mocks__/aws-sdk.js存储库中添加文件该文件应如下所示: 'use strict'...
VS2017编译通过的aws-sdk-cpp工程代码
01-18
aws-sdk-cpp 1.9.26 C++ SDK 附带生成好的vs2017解决方案和工程文件,使用有问题请留言
aws-sdk-cpp-1.11.4(x86-windows)
04-27
2,压缩包中是从github下载的aws-sdk-cpp-1.11.4编译后的可安装二次开发包,windows x86版本,包含以下内容: aws-cpp-sdk-core.dll(和其余dll) aws-cpp-sdk-core.lib (和其余lib) \include\aws(sdk头文件) 3...
aws-sdk-cpp:适用于C ++的AWS开发工具包
01-30
适用于C ++的AWS开发工具包 适用于C ++的AWS开发工具包为Amazon Web Services(AWS)提供了现代C ++(C ++ 11或更高版本)接口。 它旨在在低级和高级SDK上实现高性能并完全起作用,同时最大限度地减少依赖性并提供...
AWS-SAA考试认证-学习资料中文
08-02
AWS-SAA考试认证-学习资料中文 考试代码: AWS Certified Solutions Architect ‑ Associate 考试名称: AWS Certified Solutions Architect ‑ Associate 此文档属于机翻文档,请配合英文版使用,体验更佳 祝您逢考...
安全了解
m0_60696725的博客
02-28 1175
安全 安全 充当 EC2 实例的虚拟防火墙,用于控制传入和传出流量。入站规则控制传入到实例的流量,出站规则控制从实例传出的流量。 启动实例时,您可以指定一个或多个安全。如果您未指定安全,则 Amazon EC2 将使用默认安全。您可以为每个安全添加规则,规定流入或流出其关联实例的流量。您可以随时修改安全的规则。新规则和修改后的规则将自动应用到与安全相关联的所有实例。在 Amazon EC2 确定是否允许流量到达实例时,它评估与实例关联的所有安全中的所有规则。 一、安全规则 1.特征: 安
AWS DevOps 通过Config自动审计Security Group配置——上篇
栗子哥的云计算博客
08-12 510
这个实验的一个场景是,运维同事设计安全Security Group的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了) 逻辑是: 修改,添加或已有的Security —— 触发Config的审计—— 触发Lambda来修改正确的规则(这个实验是自定义rule,AWS Config提供了90几个rule可以满足大部分场景的需求) 先决条件: 了解AWS Lamb
AWS SSA 图片系列 之 Security Group VS ACL
fddqfddq的专栏
09-09 177
ACL rule
AWS网络环境搭建(一):创建VPC、子网和安全
weixin_43673156的博客
02-25 2688
一、创建VPC 1、登录AWS,点击服务中的VPC,打开 Amazon VPC 控制台; 2、在导航窗格中,选择 VPC 控制面板。在控制面板中,选择 Launch VPC Wizard (启动 VPC 向导); 3、选择带单个公有子网的VPC,点击选择; 4、在配置页面上的 VPC 名称字段中输入您的 VPC 的名称,并在子网名称字段中输入您的子网的名称,确认信息无误后点击创建; 5、创...
aws 安全 acl_对AWS安全和网络ACL进行故障排除时应了解的知识
weixin_26722031的博客
08-31 3558
aws 安全 acl AWS网络 (AWS Networking) If you have been working on AWS for some time, either managing infrastructure or creating some fancy serverless applications, you must have run into some sort of net...
AWS EKS使用Pod安全
weixin_41335923的博客
11-17 3589
目录一、介绍二、创建安全(可选)2.1 首先创建RDS安全(可选,数据库存在可跳过)2.2 创建Pod安全2.3 为RDS安全添加入站规则,允许Pod安全连接到数据库三、获取RDS Endpoint3.1 创建RDS数据库(可选,数据库存在可跳过)3.2 获取数据库的Endpoint3.3 添加测试数据(可选)四、EKS CNI网络配置4.1 为节点角色授权4.2 启用CNI插件五、安全策略六、创建Secret7、测试(可选)7.1 Green Pod7.2 Red Pod参考 一、介绍 容器
powershell 管理更新AWS安全
shrekz的专栏
04-08 2123
#导入亚马逊云模块 import-module "C:\Program Files (x86)\AWS Tools\PowerShell\AWSPowerShell\AWSPowerShell.psd1" #获取最新外网地址 $WebClient=new-object System.Net.WebClient $uri="http://myip.dnsomatic.com/" $ipaddr=$W
AWS 中仅允许 CloudFront访问的安全创建
JeffreyWang的技术博客
11-22 1218
文章目录目的思路操作过程创建安全创建Lambda执行角色创建函数代码改进第10行自动更新更新 EC2 或 ELB 的安全策略总结 目的 生产环境中出于安全和并发的考虑,一般会用 CDN 和 LB 为后端服务/资源进行加速和并发防护,在 AWS 中,CDN 服务是 CloudFront,为了从根源上避免直接访问到源,需要通过安全的方式织非 CloudFront 边缘节点的访问。 思路 根据官方博客 How to Automatically Update Your Security Groups for
aws-java-sdk-core
最新发布
12-29
AWS Java SDK Core是一个用于使用Amazon Web Services的Java库。它提供了一套功能强大的API,可以让Java开发人员轻松地与AWS服务进行交互。 AWS Java SDK Core具有丰富的功能集,包括身份验证、错误处理、请求和响应处理等。它支持几乎所有AWS服务,例如云计算服务(如EC2、S3和RDS)、人工智能服务(如Rekognition和Comprehend)以及数据库服务(如DynamoDB和Redshift)。 通过AWS Java SDK Core,开发人员可以轻松地使用Java代码来创建、配置和管理AWS资源。例如,他们可以使用SDK来创建EC2实例、上传文件到S3存储桶,或者执行DynamoDB数据库查询。SDK还提供了丰富的选项和配置,以满足各种开发需求,例如设置超时时间、自定义重试策略等。 AWS Java SDK Core还提供了与其他AWS SDK的无缝集成。开发人员可以使用其他AWS SDK,如AWS Lambda SDK或AWS SNS SDK,与AWS Java SDK Core协同工作,以构建更强大、更复杂的应用程序。 总之,AWS Java SDK Core是一种用于Java开发人员与AWS服务进行交互的强大工具。它提供了丰富的功能和灵活的配置选项,使开发人员能够使用Java代码轻松地创建、配置和管理AWS资源。无论是开发简单的应用程序还是复杂的系统,AWS Java SDK Core都可以帮助开发人员轻松实现他们的目标。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Loong_1213

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值