Как да конфигурирам правилата за сигурност в екземпляр на Amazon EC2

Конфигурирането на входящи и изходящи правила във вашия Amazon е изключително важно от съображения за сигурност и за изпълнение на целите на нашите лични или бизнес нужди. Например, ако планирате да хоствате уеб приложение на вашия екземпляр Amazon EC2, ще трябва да активирате HTTPS входяща комуникация, за да може външният свят да достигне до хоствано уеб приложение.

Ако вашият екземпляр на Amazon EC2 трябва да достигне до имейл сървъри, хоствани някъде в Интернет, ще трябва да активирате IMAP, POP3 и SMTP изходяща комуникация.

Част I: Конфигурирайте входящи правила, като активирате HTTPS

В първата част ще ви покажем как да конфигурирате входящи правила, като активирате HTTPS протокола. HTTPS (Hypertext Transfer Protocol Secure) се използва за сигурна комуникация между уеб браузър и уебсайта (уеб сървър).

1. Влезте в Конзола за управление на AWS
2. Кликнете върху Изпълняващи се екземпляри
3. Изберете инстанцията
4. Щракнете върху Описание раздела и навигация към Групи за сигурност от дясната страна на прозореца, както е показано на екранната снимка по-долу.

Под Групи за сигурност можете да намерите три групи, включително:

• съветник за стартиране-3 - името на групата за сигурност. Използва се за конфигуриране на входящи и изходящи правила за екземпляра EC2. В нашия случай името е съветник за стартиране-3.
• входящи правила - създайте входящи правила, използвани за дефиниране на входяща комуникация към вашия екземпляр на Amazon EC2. Като щракнете върху изглед, можете да видите съществуващите входящи правила.
• изходящи правила - създайте изходящи правила, използвани за дефиниране на изходяща комуникация към вашия екземпляр на Amazon EC2. Като щракнете върху изглед, можете да видите съществуващите изходящи правила.

5. Кликнете върху съветник за стартиране-3 за конфигуриране на правила за сигурност
6. Под Група за сигурност щракнете върху групата за сигурност, свързана с нашия екземпляр. В нашия случай това е нареченият идентификатор на групата за сигурност sg-002fe10b00db3a1e0 .
7. Кликнете върху Входящи правила и след това щракнете върху Редактирайте входящи правила
8. Под Входящи правила кликнете върху Добавяне на правило
9. Конфигурирайте правилото, както следва:

• Тип - от списъка изберете HTTPS. Можете да изберете общ протокол, като SSH (за екземпляр на Linux), RDP (за екземпляр на Windows) или други. Можете също така ръчно да въведете потребителски порт или диапазони на портове. Има повече от 30 протокола, които могат да бъдат конфигурирани. В случай, че искате да активирате DNS, IMAP, SMTP или други протоколи, можете да го направите, като следвате същата процедура като при конфигурирането на протокол HTTPS.

• Протокол - той ще използва TCP протокол по подразбиране. Типът протокол, например TCP или UDP. Той предоставя допълнителен избор за ICMP.
• Обхват на порта - след като изберете HTTPS като тип на правилото, то автоматично ще присвои 443 като порт по подразбиране. За персонализирани правила и протоколи можете ръчно да въведете номер на порт или диапазон на порта.
• Източник - посочете единичен IP адрес или диапазон от IP адреси в нотация CIDR (например 203.0.113.5/32), които трябва да достигнат до нашия екземпляр EC2. В нашия случай ние ще изберем Навсякъде . Това автоматично ще добави IPv4 и IPv6 диапазон 0.0.0 / 0 и :: / 0 което означава, че всеки хост от който и да е мрежов идентификатор може да достигне до нашия екземпляр EC2. Ако се свързвате зад защитна стена, ще ви е необходим диапазонът от IP адреси, използван от клиентските компютри. Можете да посочите името или идентификатора на друга група за защита в същия регион. За да посочите група за защита в друг акаунт в AWS (само EC2-Classic), добавете го с идентификатор на акаунта и наклонена черта, например 111122223333 / OtherSecurityGroup.
• Описание - по избор - Описание на правило за група за сигурност.

10. Кликнете върху Запазете правила. Успешно създадохте входящото правило. Можете успешно да достигнете до вашето уеб приложение, хоствано на екземпляр на Amazon EC2.

Част II: Конфигуриране на изходящ трафик чрез активиране на IMAP, POP3 и SMTP:

Във втората част ще ви покажем как да конфигурирате изходящо правило, като активирате протоколи IMAP, POP3 и SMTP. IMAP (Internet Message Access Protocol) и POP3 (Post Office Protocol 3) са протоколи за получаване на имейли, а SMTP (Simple Mail Transfer Protocol) е протокол за изпращане на имейл.

1. Отворете вашата група за сигурност
2. Кликнете върху Изходящи правила . Както можете да видите на екранната снимка по-долу, за екземпляра на Amazon EC2 се създава едно изходящо правило. Правилото е наречено Целият трафик, и се използва за разрешаване на всяка изходяща комуникация от екземпляр на Amazon EC2 към външния свят.
3. Кликнете върху Редактирайте изходящи правила и изтрийте Целият трафик правило, като щракнете върху Изтрий
4. Кликнете върху Добавяне на правило за да създадете ново правило
5. Конфигурирайте правилото, както следва:

• Тип - от списъка изберете IMAPS.
• Протокол - той ще използва TCP протокол по подразбиране. Типът протокол, например TCP или UDP. Той предоставя допълнителен избор за ICMP.
• Обхват на порта - след като изберете IMAPS като тип на правилото, то автоматично ще присвои 993 като порт по подразбиране.
• Източник - посочете единичен IP адрес или диапазон от IP адреси в нотация CIDR (например 203.0.113.5/32), които трябва да достигнат до нашия екземпляр EC2. В нашия случай ще разрешим достъп само до определен публичен IP адрес .
• Описание - по избор - Описание на правило за група за сигурност. Кликнете върху Добавяне на правило и създайте правило за POP3S и SMTPS

7. Щракнете върху Запазете правила. Успешно създадохте три изходящи правила.

8. Влезте в екземпляр на Amazon EC2 и проверете дали правилата се прилагат успешно.