Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Instance-Firewalls in Amazon Lightsail
Die Firewall in der Amazon Lightsail-Konsole fungiert als virtuelle Firewall, die den Datenverkehr steuert, der über ihre öffentliche IP-Adresse eine Verbindung zu Ihrer Instance herstellen darf. Jede Instance, die Sie in Lightsail erstellen, verfügt über zwei Firewalls: eine für IPv4-Adressen und eine andere für IPv6-Adressen. Jede Firewall enthält eine Reihe von Regeln, die den Datenverkehr filtern, der in die Instance eingeht. Beide Firewalls sind voneinander unabhängig. Sie müssen daher die Firewall-Regeln für IPv4 und IPv6 getrennt konfigurieren. Bearbeiten Sie die Firewall Ihrer Instance jederzeit, indem Sie Regeln hinzufügen und löschen, um den Datenverkehr zuzulassen oder einzuschränken.
Inhalt
Lightsail-Firewalls
Jede Lightsail-Instance verfügt über zwei Firewalls: eine für IPv4-Adressen und eine andere für IPv6-Adressen. Der gesamte Internetdatenverkehr in und aus Ihrer Lightsail-Instance wird durch die Firewall geleitet. Eine Instance-Firewall steuert den Internetdatenverkehr, der in Ihre Instance fließen darf. Sie steuert jedoch nicht den hinaus fließenden Datenverkehr. Die Firewall erlaubt den gesamten ausgehenden Datenverkehr. Bearbeiten Sie die Firewall Ihrer Instance jederzeit, indem Sie Regeln hinzufügen und löschen, um den Datenverkehr zuzulassen oder einzuschränken. Beachten Sie, dass beide Firewalls voneinander unabhängig sind. Sie müssen daher die Firewallregeln für IPv4 und IPv6 getrennt konfigurieren.
Firewall-Regeln sind stets zulassend, Sie können keine Regeln erstellen, die den Zugriff verweigern. Sie fügen Ihrer Firewall Regeln hinzu, damit der Datenverkehr Ihre Instance erreichen kann. Wenn Sie der Firewall Ihrer Instancer eine Regel hinzufügen, geben Sie, wie im folgenden Beispiel gezeigt, das zu verwendende Protokoll, den zu öffnenden Port und die IPv4- und IPv6-Adressen an, die eine Verbindung zu Ihrer Instance herstellen dürfen (für IPv4). Sie können auch einen Protokolltyp der Anwendungsebene angeben, bei dem es sich um eine Voreinstellung handelt, die das Protokoll und den Portbereich für Sie auf Grundlage des für Ihre Instance zu verwendenden Diensts angibt.
Wichtig
Firewall-Regeln betreffen nur den Datenverkehr, der durch die öffentliche IP-Adresse einer Instance fließt. Sie wirkt sich nicht auf den Datenverkehr aus, der durch die private IP-Adresse einer Instance fließt, die von Lightsail-Ressourcen in Ihrem Konto AWS-Region, in derselben oder Ressourcen in einer per Peering verbundenen Virtual Private Cloud (VPC) in derselben stammen kann AWS-Region.
Firewall-Regeln und ihre konfigurierbaren Parameter werden in den nächsten Abschnitten dieses Handbuchs erläutert.
Firewall-Regeln erstellen
Erstellen Sie eine Firewall-Regel, damit ein Client eine Verbindung mit Ihrer Instance oder mit einer Anwendung herstellen kann, die auf Ihrer Instance ausgeführt wird. Um beispielsweise allen Webbrowsern zu ermöglichen, sich mit der WordPress Anwendung auf Ihrer Instance zu verbinden, konfigurieren Sie eine Firewallregel, die das Transmission Control Protocol (TCP) über Port 80 von jeder IP-Adresse aus aktiviert. Wenn diese Regel bereits in der Firewall Ihrer Instance konfiguriert ist, können Sie sie löschen, um zu verhindern, dass Webbrowser eine Verbindung mit der WordPress Anwendung auf Ihrer Instance herstellen können.
Wichtig
Sie können die Lightsail-Konsole verwenden, um bis zu 30 Quell-IP-Adressen gleichzeitig hinzuzufügen. Um bis zu 60 IP-Adressen gleichzeitig hinzuzufügen, verwenden Sie die Lightsail-API, AWS Command Line Interface (AWS CLI) oder ein AWS SDK. Dieses Kontingent wird für IPv4-Regeln und IPv6-Regeln getrennt erzwungen. Beispielsweise kann eine Firewall über 60 Regeln für eingehenden IPv4-Datenverkehr und über 60 Regeln für eingehenden IPv6-Datenverkehr verfügen. Wir empfehlen Ihnen, einzelne IP-Adressen in CIDR-Bereichen zu konsolidieren. Weitere Informationen finden Sie im Abschnitt Quell-IP-Adressen angeben in diesem Leitfaden.
Sie können auch einen SSH-Client aktivieren, um eine Verbindung mit Ihrer Instance herzustellen, um administrative Aufgaben auf dem Server auszuführen, indem Sie eine Firewall-Regel konfigurieren, die TCP über Port 22 nur von der IP-Adresse des Computers ermöglicht, der eine Verbindung herstellen muss. In diesem Fall möchten Sie nicht zulassen, dass eine beliebige IP-Adresse eine SSH-Verbindung mit Ihrer Instance herstellen kann, da dies ein Sicherheitsrisiko für Ihre Instance bedeuten könnte.
Anmerkung
Die in diesem Abschnitt beschriebenen Firewall-Regelbeispiele können standardmäßig in der Firewall Ihrer Instance vorhanden sein. Weitere Informationen finden Sie unter Standard-Firewall-Regeln weiter unten in diesem Handbuch.
Wenn mehr als eine Regel für einen bestimmten Port vorliegt, wird die toleranteste Regel angewendet. Beispiel: Sie fügen eine Regel hinzu, die den Zugriff auf TCP-Port 22 (SSH) von der IP-Adresse 192.0.2.1 ermöglicht. Anschließend fügen Sie eine weitere Regel hinzu, die den Zugriff auf TCP-Port 22 von allen Benutzern ermöglicht. Infolgedessen hat jeder Benutzer Zugriff auf TCP-Port 22.
Protokolle angeben
Ein Protokoll ist das Format, in dem Daten zwischen zwei Computern übertragen werden. Mit Lightsail können Sie die folgenden Protokolle in einer Firewall-Regel angeben:
-
TCP (Transmission Control Protocol) wird hauptsächlich zum Herstellen und Verwalten einer Verbindung zwischen Clients und der auf Ihrer Instance ausgeführten Anwendung verwendet, bis der Datenaustausch abgeschlossen ist. Es handelt sich um ein weit verbreitetes Protokoll, das Sie häufig in den Firewall-Regeln angeben können. TCP garantiert, dass keine übertragenen Daten fehlen und dass alle gesendeten Daten an den beabsichtigten Empfänger weitergeleitet werden. Es ist ideal für Netzwerkanwendungen, die eine hohe Zuverlässigkeit benötigen und für die Übertragungszeit relativ weniger kritisch ist, wie Web-Browsing, Finanztransaktionen und Textnachrichten. Diese Anwendungsfälle verlieren einen deutlich an Wert, wenn Teile der Daten verloren gehen.
-
UDP (User Datagram Protocol) wird hauptsächlich für den Aufbau von Verbindungen mit geringer Latenz und verlusttolerierenden Verbindungen zwischen Clients und der auf Ihrer Instance ausgeführten Anwendung verwendet. Es ist ideal für Netzwerkanwendungen, in denen die empfundene Latenz kritisch ist, wie Spiele, Sprach- und Videokommunikation. Bei diesen Anwendungsfällen kann es zu Datenverlust kommen, ohne dass die wahrgenommene Qualität beeinträchtigt wird.
-
Internet Control Message Protocol (ICMP) wird in erster Linie zur Diagnose von Problemen bei der Netzwerkkommunikation verwendet, z. B. um festzustellen, ob Daten das beabsichtigte Ziel rechtzeitig erreichen. Es ist ideal für das Ping-Dienstprogramm, mit dem Sie die Geschwindigkeit der Verbindung zwischen Ihrem lokalen Computer und Ihrer Instance testen können. Es gibt an, wie lange Daten benötigen, bis sie Ihre Instance erreichen und zu Ihrem lokalen Computer zurückkehren.
Anmerkung
Wenn Sie der IPv6-Firewall Ihrer Instance mithilfe der Lightsail-Konsole eine ICMP-Regel hinzufügen, wird die Regel automatisch für die Verwendung von ICMPv6 konfiguriert. Weitere Informationen finden Sie unter Internet Control Message Protocol für IPv6
in Wikipedia. -
All wird verwendet, um den gesamten Protokolldatenverkehr in Ihre Instance fließen zu lassen. Geben Sie dieses Protokoll an, wenn Sie nicht sicher sind, welches Protokoll angegeben werden soll. Dies schließt alle Internetprotokolle ein, nicht nur die oben angegebenen. Weitere Informationen finden Sie unter Protokollnummern
auf der Website der Internet Assigned Numbers Authority.
Angeben von Ports
Ähnlich wie physische Ports auf Ihrem Computer, mit denen Ihr Computer mit Peripheriegeräten wie Tastatur und Maus kommunizieren kann, dienen Netzwerkports als Internet-Kommunikationsendpunkte für Ihre Instance. Wenn ein Computer versucht, eine Verbindung mit Ihrer Instance herzustellen, wird ein Port verfügbar gemacht, über den die Kommunikation hergestellt werden kann.
Die Ports, die Sie in einer Firewall-Regel angeben können, können zwischen 0 und 65535 liegen. Wenn Sie eine Firewall-Regel erstellen, mit der ein Client eine Verbindung mit Ihrer Instance herstellen kann, geben Sie das zu verwendende Protokoll (siehe weiter oben in diesem Handbuch) und die Portnummern an, über die die Verbindung hergestellt werden kann. Sie können auch die IP-Adressen angeben, die mithilfe des Protokolls und des Ports Verbindung herstellen dürfen. Dies wird im nächsten Abschnitt dieses Handbuchs behandelt.
Hier finden Sie einige der häufig verwendeten Ports und die Dienste, die sie verwenden:
-
Für die Datenübertragung über File Transfer Protocol (FTP) wird Port 20 verwendet.
-
Die Befehlssteuerung über FTP verwendet Port 21.
-
Secure Shell (SSH) verwendet Port 22.
-
Telnet-Remote-Login-Dienst und unverschlüsselte Textnachrichten verwenden Port 23.
-
Das SMTP-E-Mail-Routing (Simple Mail Transfer Protocol) verwendet Port 25.
Wichtig
Um SMTP auf Ihrer Instance zu aktivieren, müssen Sie auch Reverse DNS für Ihre Instance konfigurieren. Andernfalls ist Ihre E-Mail möglicherweise auf TCP-Port 25 beschränkt. Weitere Informationen finden Sie unter Konfigurieren von Reverse-DNS für einen E-Mail-Server auf Ihrer Amazon Lightsail-Instance.
-
Der Domain Name System (DNS)-Dienst verwendet Port 53.
-
Hypertext Transfer Protocol (HTTP), mit dem Webbrowser eine Verbindung mit Websites herstellen, verwendet Port 80.
-
Post Office Protocol (POP3), das von E-Mail-Clients genutzt wird, um E-Mails von einem Server abzurufen, verwendet Port 110.
-
Network News Transfer Protocol (NNTP) verwendet Port 119.
-
Network Time Protocol (NTP) verwendet Port 123.
-
Internet Message Access Protocol (IMAP), das zur Verwaltung digitaler E-Mails genutzt wird, verwendet Port 143.
-
SNMP (Simple Network Management Protocol) verwendet Port 161.
-
HTTP Secure (HTTPS) HTTP über TLS/SSL, mit dem Webbrowsern eine verschlüsselte Verbindung mit Websites herstellen, verwendet Port 443.
Weitere Informationen finden Sie unter Service Name and Transport Protocol Port Number Registry
Protokolltypen der Anwendungsebene angeben
Sie können einen Protokolltyp der Anwendungsebene angeben, wenn Sie eine Firewall-Regel erstellen. Dabei handelt es sich um Voreinstellungen, die das Protokoll und den Portbereich der Regel auf Grundlage des Diensts angeben, den Sie für Ihre Instance aktivieren möchten. Auf diese Weise müssen Sie nicht nach dem gemeinsamen Protokoll und den Ports suchen, die für Dienste wie SSH, RDP, HTTP und andere verwendet werden sollen. Sie können einfach diese Protokolltypen der Anwendungsebene auswählen, und das Protokoll und der Port werden für Sie angegeben. Wenn Sie Ihr eigenes Protokoll und Ihren eigenen Port angeben möchten, können Sie als Protokolltyp der Anwendungsebene Custom rule (Benutzerdefinierte Regel) auswählen, mit dem Sie diese Parameter steuern können.
Anmerkung
Sie können den Protokolltyp der Anwendungsebene nur mithilfe der Lightsail-Konsole angeben. Sie können den Protokolltyp der Anwendungsebene nicht mit der Lightsail-API, AWS Command Line Interface (AWS CLI) oder SDKs angeben.
Die folgenden Protokolltypen auf Anwendungsebene sind in der Lightsail-Konsole verfügbar:
-
Custom (Benutzerdefiniert) – wählen Sie diese Option aus, um Ihr eigenes Protokoll und Ihre Ports anzugeben.
-
All protocols (Alle Protokolle) – wählen Sie diese Option aus, um alle Protokolle anzugeben und eigene Ports anzugeben.
-
All TCP (Alle TCP) – wählen Sie diese Option aus, wenn Sie das TCP-Protokoll verwenden möchten, sich aber nicht sicher sind, welcher Port geöffnet werden soll. Dadurch wird TCP über alle Ports (0-65535) aktiviert.
-
All UDP (Alle UDP) – wählen Sie diese Option, aus wenn Sie das UDP-Protokoll verwenden möchten, sich aber nicht sicher sind, welcher Port geöffnet werden soll. Dies ermöglicht UDP über alle Ports (0-65535).
-
Alle ICMP – wählen Sie diese Option aus, um alle ICMP-Typen und -Codes anzugeben.
-
Custom ICMP (Benutzerdefiniertes ICMP) – wählen Sie diese Option aus, um das ICMP-Protokoll zu verwenden und einen ICMP-Typ und -Code zu definieren. Weitere Informationen zu ICMP-Typen und -Codes finden Sie unter Control-Messages
auf Wikipedia. -
DNS – wählen Sie diese Option aus, wenn Sie DNS für Ihre Instance aktivieren möchten. Dies ermöglicht TCP und UDP über Ports 53.
-
HTTP – wählen Sie diese Option aus, wenn Sie Webbrowsern die Verbindung zu einer Website ermöglichen möchten, die auf Ihrer Instance gehostet wird. Dadurch wird TCP über Port 80 aktiviert.
-
HTTPS – wählen Sie diese Option aus, wenn Sie Webbrowsern ermöglichen möchten, eine verschlüsselte Verbindung mit einer Website herzustellen, die auf Ihrer Instance gehostet wird. Dies ermöglicht TCP über Port 443.
-
MySQL/Aurora – wählen Sie diese Option aus, damit ein Client eine Verbindung mit einer MySQL- oder Aurora-Datenbank herstellen kann, die auf Ihrer Instance gehostet wird. Dies ermöglicht TCP über Port 3306.
-
Oracle-RDS – wählen Sie diese Option aus, um einem Client die Verbindung mit einer Oracle- oder RDS-Datenbank zu ermöglichen, die auf Ihrer Instance gehostet wird. Dies ermöglicht TCP über Port 1521.
-
Ping (ICMP) – wählen Sie diese Option aus, damit Ihre Instance mit dem Ping-Dienstprogramm auf Anfragen antworten kann. Am IPv4-Firewall aktiviert dies ICMP Typ 8 (Echo) und Code -1 (alle Codes). Auf der IPv6-Firewall werden dadurch ICMP Typ 129 (echo reply) und Code 0 aktiviert.
-
RDP – wählen Sie diese Option aus, um einem RDP-Client die Verbindung mit Ihrer Instance zu ermöglichen. Dies ermöglicht TCP über Port 3389.
-
SSH – wählen Sie diese Option aus, um einem SSH-Client die Verbindung mit Ihrer Instance zu ermöglichen. Dies ermöglicht TCP über Port 22.
Quell-IP-Adressen angeben
Standardmäßig erlauben Firewall-Regeln, dass alle IP-Adressen über das angegebene Protokoll und den angegebenen Port eine Verbindung mit Ihrer Instance herstellen können. Dies ist ideal für Datenverkehr wie Webbrowser über HTTP und HTTPS. Dies stellt jedoch ein Sicherheitsrisiko für Datenverkehr wie SSH und RDP dar, da Sie nicht zulassen sollten, dass alle IP-Adressen über diese Anwendungen eine Verbindung mit Ihrer Instance herstellen können. Aus diesem Grund können Sie eine Firewall-Regel auf eine IPv4- oder IPv6-Adresse oder einen IP-Adressbereich beschränken.
-
Für die IPv4-Firewall - Sie können eine einzelne IPv4-Adresse (z. B. 203.0.113.1) oder einen IPv4-Adressbereich angeben. In der Lightsail-Konsole kann der Bereich mit einem Bindestrich (z. B. 192.0.2.0-192.0.2.255) oder in CIDR-Blockschreibweise (z. B. 192.0.2.0/24) angegeben werden. Weitere Informationen zur CIDR-Block-Notation finden Sie unter Classless Inter-Domain Routing
auf Wikipedia. -
Für die IPv6-Firewall - Sie können eine einzelne IPv6-Adresse (z. B. 2001:0db8:85a3:0000:0000:8a2e:0370:7334 oder einen Bereich von IPv6-Adressen angeben. Der IPv6-Bereich kann in der Lightsail-Konsole nur mit CIDR-Blocknotation (z. B. 2001:db8:: /32) angegeben werden. Weitere Informationen zur IPv6 CIDR-Blocknotation finden Sie unter IPv6-CIDR-Blöcke
in Wikipedia.
Standardmäßige Lightsail-Firewall-Regeln
Wenn Sie eine neue Instance erstellen, ist die Firewall mit den folgenden Standardregeln vorkonfiguriert, die grundlegenden Zugriff auf Ihre Instance ermöglichen. Die Standardregeln unterscheiden sich je nach Instance-Typ, den Sie erstellen. Diese Regeln werden als Anwendungs-, Protokoll-, Port- und Quell-IP-Adresse aufgelistet (z. B. Anwendung – Protokoll – Port – Quell-IP-Adresse).
- AlmaLinux, Amazon Linux 2, Amazon Linux 2023, CentOS, Debian, FreeBSD ,openSUSE und Ubuntu (Basisbetriebssysteme)
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
- WordPress, Ghost, Joomla! PrestaShopund Drupal (CMS-Anwendungen)
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
- cPanel & WHM (CMS-Anwendung)
-
SSH – TCP – 22 – alle IP-Adressen
DNS (UDP) - UDP - 53 - alle IP-Adressen
DNS (TCP) - TCP - 53 - alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
Benutzerdefiniert – TCP – 2078 – alle IP-Adressen
Benutzerdefiniert – TCP – 2083 – alle IP-Adressen
Benutzerdefiniert – TCP – 2087 – alle IP-Adressen
Benutzerdefiniert – TCP – 2089 – alle IP-Adressen
- LAMP, Django, Node.js, MEAN GitLabund Nginx (Entwicklungs-Stacks)
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
- Magento (E-Commerce-Anwendung)
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
- Redmine (Projektmanagementanwendung)
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
- Plesk (Hosting Stack)
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
Benutzerdefiniert – TCP – 53 – alle IP-Adressen
Benutzerdefiniert – UDP – 53 – alle IP-Adressen
Benutzerdefiniert – TCP – 8443 – alle IP-Adressen
Benutzerdefiniert – TCP – 8447 – alle IP-Adressen
- Windows Server 2022, Windows Server 2019 und Windows Server 2016
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
RDP – TCP – 3389 – alle IP-Adressen
- SQL Server Express 2022, SQL Server Express 2019 und SQL Server Express 2016
-
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
RDP – TCP – 3389 – alle IP-Adressen
Weitere Informationen zu Firewalls
Im Folgenden finden Sie einige Artikel, die Sie bei der Verwaltung von Firewalls in Lightsail unterstützen.
