我一直在努力理解 AWS 安全组描述的端口范围以及它们的行为方式。我是一名软件开发人员,拥有多年编写网络软件的经验,因此我可能只是把事情复杂化了。
我真正寻找的是一种将我的网络知识与 AWS 的命名和行为结合起来的方法。
最让我困惑的是,TCP 或 UDP 数据包有两个端口号(发送方和接收方)。无论数据包是从服务器发送到客户端还是从客户端发送到服务器,这都适用。因此,防火墙规则理论上可以引用 4 个不同的端口:
- 入站数据包接收方端口
- 入站数据包发送方端口
- 出站数据包接收端口
- 出站数据包发送方端口
我意识到任何(TCP)连接实际上都只有两个端口,因为入站和出站数据包是彼此的镜像。
现在考虑到所有这些,AWS 控制台只有一个端口用于入站规则,一个端口用于出站规则。当我查找示例时,它们通常包括允许同一组中的每个端口出站作为单个端口入站的参考(请参阅地形示例)。
这究竟起什么作用?
我很担心,因为......我似乎需要这个出口规则。这似乎允许任何客户端从任何端口连接到端口 443。(没问题)。但是一个安全组的出口规则可以与另一个安全组的入口规则合并吗?
例如:如果我添加一个网络组让我的机器充当 HTTP(S) 服务器,如示例所示,然后我添加另一条规则让它充当 HTTP(S) 客户端,那么我将有一条规则允许任何端口从anyware 和一条允许任何端口的规则到任何地方。这是否完全打开了防火墙,还是每个数据包都必须完全匹配一个安全组?
答案1
AWS 安全组只是一个防火墙。
允许一切的出口规则只是允许您的实例与任何地方建立传出连接。
如果您在两个实例之间建立连接,则出口规则适用于建立传出连接的实例,入口规则适用于接收传入连接的实例。这些实例可能位于不同的安全组、不同的区域,甚至不同的 AWS 账户中。另一个实例甚至可能位于互联网上的其他地方。在大多数情况下,您无法看到另一端的防火墙规则,它们也不相关,因为它们不是您负责的系统。
至于为什么只指定一个端口,几乎总是只有一个端口相关的:目标端口。源端口几乎总是动态分配的,对防火墙没有用处。只有在极少数情况下,源端口在防火墙规则中才会在理论上发挥作用,我想不出在 AWS 上运行实例时会遇到什么情况。