Firewalls de instancia en Amazon Lightsail

Última actualización 1 de septiembre de 2020

Demasiado largo; No lo leí

Un firewall en Amazon Lightsail controla el tráfico permitido para conectarse a su instancia en el nivel de protocolo y puerto. Cuando crea una nueva instancia, su firewall está preconfigurado con un conjunto de reglas predeterminadas que permiten el acceso básico a la instancia. Edite el firewall de su instancia, en cualquier momento, agregando y eliminando reglas de firewall para permitir que el tráfico llegue a su instancia.

Última actualización 9 de julio de 2020

El firewall de la consola de Amazon Lightsail actúa como un firewall virtual que controla el tráfico permitido para conectarse a la instancia. Cada instancia que cree en Lightsail tiene su propio firewall. Cada firewall contiene un conjunto de reglas que filtran el tráfico que entra en la instancia. Edite el firewall de su instancia, en cualquier momento, agregando y eliminando reglas para permitir o restringir el tráfico.

Instancias de destino que están fuera de línea especificando un grupo de recursos de AWS como destino.Contenido

Comprensión Lightsail cortafuegos

Todo el tráfico de Internet que entra y sale de su instancia de Lightsail pasa a través de su firewall. Un firewall de Lightsail controla el tráfico de Internet que puede pasar por su instancia. Sin embargo, no controla el tráfico que sale de él: el firewall permite todo el tráfico saliente.

Las reglas del firewall siempre son permisivas; no se pueden crear reglas que denieguen el acceso. Agregue reglas al firewall para permitir que el tráfico llegue a su instancia. Cuando se agrega una regla al firewall, se especifica el protocolo que se va a utilizar, el puerto que se va a abrir y las direcciones IP que pueden conectarse a la instancia, como se muestra en el ejemplo siguiente. También puede especificar un tipo de protocolo de capa de aplicación, que es un valor preestablecido que especifica el protocolo y el intervalo de puertos según el servicio que piensa usar en la instancia.

Menú de complementos del panel de administración de WordPress.

Las reglas del firewall y sus parámetros configurables se explican en las siguientes secciones de esta guía.

Creación de reglas de firewall

Cree una regla de firewall para permitir que un cliente establezca una conexión con la instancia o con una aplicación que se ejecuta en la instancia. Por ejemplo, para permitir que todos los navegadores web se conecten a la aplicación WordPress en su instancia, configure una regla de firewall que habilite el protocolo de contacto de transmisión (TCP) a través del puerto 80 de cualquier dirección IP. Si esta regla ya está configurada en el firewall de su instancia, puede eliminarla para impedir que los navegadores web puedan conectarse a la aplicación WordPress de su instancia.

También puede permitir que un cliente SSH se conecte a su instancia, para realizar tareas administrativas en el servidor, configurando una regla de firewall que habilite TCP a través del puerto 22 solo desde la dirección IP del equipo que necesita establecer una conexión. En este caso, no desearía permitir que ninguna dirección IP establezca una conexión SSH con su instancia, ya que hacerlo podría suponer un riesgo de seguridad en su instancia.

Nota

Los ejemplos de reglas de firewall descritos en esta sección pueden existir de forma predeterminada en el firewall de su instancia. Para obtener más información, consulte Reglas de cortafuegos predeterminadas más adelante en esta guía.

Si hay más de una regla para un puerto específico, aplicamos las regla más permisiva. Por ejemplo, si agrega una regla que permite el acceso al puerto TCP 22 (SSH) desde la dirección IP 192.0.2.1. A continuación, agregue otra regla que permita el acceso de todos al puerto TCP 22. Como resultado, todos tienen acceso al puerto TCP 22.

Especificación de protocolos

Un protocolo es el formato en el que los datos se transmiten entre dos equipos. Lightsail le permite especificar los siguientes protocolos en una regla de firewall:

  • Protocolo de contacto de transmisión (TCP) se utiliza principalmente para establecer y mantener una conexión entre los clientes y la aplicación que se ejecuta en su instancia hasta que se complete el intercambio de datos. Es un protocolo ampliamente utilizado y que a menudo puede especificar en sus reglas de firewall. TCP garantiza que no falten datos transmitidos y que todos los datos se envíen al destinatario previsto. Su uso ideal es para aplicaciones de red que necesitan alta fiabilidad y para las que el tiempo de transmisión es relativamente menos crítico, como la navegación web, las transacciones financieras y la mensajería de texto. Estos casos de uso perderán un valor significativo si se pierden partes de los datos.

  • Protocolo de Datagram del usuario (UDP) se utiliza principalmente para establecer conexiones de baja latencia y tolerancia a pérdidas entre clientes y la aplicación que se ejecuta en su instancia. Su uso ideal es para aplicaciones de red en las que la latencia percibida es crítica, como juegos, voz y comunicaciones de vídeo. Estos casos de uso pueden sufrir cierta pérdida de datos sin afectar negativamente a la calidad percibida.

  • Protocolo de mensajes de control de Internet (ICMP) se utiliza principalmente para diagnosticar problemas de comunicación de red, como para determinar si los datos llegan a su destino previsto de manera oportuna. El uso ideal sería para la utilidad Ping, que puede utilizar para probar la velocidad de la conexión entre su equipo local y su instancia. Informa de cuánto tiempo tardan los datos en llegar a su instancia y volver a su equipo local.

  • Todos se utiliza para permitir que todo el tráfico del protocolo fluya en su instancia. Especifique este protocolo cuando no esté seguro de qué protocolo debe especificar. Esto incluye todos los protocolos de Internet; no solo los especificados anteriormente. Para obtener más información, consulte Números de protocolo en el Sitio web de la autoridad de números asignados a Internet.

Especificación de puertos

Al igual que los puertos físicos del equipo, que permiten al equipo comunicarse con periféricos como el teclado y el ratón, los puertos de red sirven como puntos de enlace de comunicaciones de Internet para su instancia. Cuando un equipo busca conectarse con su instancia, expondrá un puerto para establecer la comunicación.

Los puertos que puede especificar en una regla de firewall pueden oscilar entre 0 y 65535. Cuando crea una regla de firewall para permitir que un cliente establezca una conexión con la instancia, especifique el protocolo que se utilizará (explicado anteriormente en esta guía) y los números de puerto a través de los cuales se puede establecer la conexión. También puede especificar las direcciones IP que tienen permiso para establecer y usar el protocolo y el puerto; esto se trata en la siguiente sección de esta guía.

Estos son algunos de los puertos comúnmente utilizados junto con los servicios que los utilizan:

  • La transferencia de datos a través del protocolo de transferencia de archivos (FTP) utiliza el puerto 20.

  • El control de comandos a través de FTP utiliza el puerto 21.

  • Secure Shell (SSH) utiliza el puerto 22.

  • El servicio de inicio de sesión en remoto y de los mensajes de texto sin cifrar de Telnet utiliza el puerto 23.

  • El enrutamiento de correo electrónico de Simple Mail Transfer Protocol (SMTP) utiliza el puerto 25.

  • El servicio sistema de nombres de dominio (DNS) utiliza el puerto 53.

  • El protocolo de transferencia de hipertexto (HTTP) utilizado por los navegadores web para conectarse a sitios web utiliza el puerto 80.

  • El protocolo de oficina de correos (POP3) utilizado por los clientes de correo electrónico para recuperar correo electrónico de un servidor utiliza el puerto 110.

  • El protocolo de transferencia de noticias de red (NNTP) utiliza el puerto 119.

  • El protocolo de tiempo de red (NTP) utiliza el puerto 123.

  • El protocolo de acceso a mensajes de Internet (IMAP) utilizado para administrar correo digital utiliza el puerto 143.

  • El protocolo de administración de red simple (SNMP) utiliza el puerto 161.

  • HTTP Secure (HTTPS) HTTP a través de TLS/SSL utilizado por los navegadores web para establecer una conexión cifrada para sitios web utiliza el puerto 443.

Para obtener más información, consulte Registro de número de puerto de protocolo de nombre de servicio y transporte en el Sitio web de la autoridad de números asignados a Internet.

Especificación de tipos de protocolo de capa de aplicación

Puede especificar un tipo de protocolo de capa de aplicación al crear una regla de firewall, que son valores preestablecidos que especifican el protocolo y el intervalo de puertos de la regla según el servicio que desea habilitar en la instancia. De esta manera, no tiene que buscar el protocolo común y los puertos que usar para servicios como SSH, RDP, HTTP, etc. Simplemente puede elegir esos tipos de protocolo de capa de aplicación y el protocolo y el puerto se especifican para usted. Si prefiere especificar su propio protocolo y puerto, puede elegir el Regla personalizada tipo de protocolo de capa de aplicación, que le permite controlar esos parámetros.

Nota

Puede especificar el tipo de protocolo de capa de aplicación solo utilizando el Lightsail. No puede especificar el tipo de protocolo de capa de aplicación utilizando el Lightsail API, AWS Command Line Interface (AWS CLI) o sdks.

Los siguientes tipos de protocolo de capa de aplicación están disponibles en el Lightsail consola:

  • Personalizado – Seleccione esta opción para especificar su propio protocolo y puertos.

  • Todos los protocolos – Seleccione esta opción para especificar todos los protocolos y especificar sus propios puertos.

  • Todos los TCP – Elija esta opción para utilizar el protocolo TCP pero no está seguro de qué puerto abrir. Esta habilita el TCP a través de todos los puertos (0-65535).

  • Todos UDP – Elija esta opción para utilizar el protocolo UDP pero no está seguro de qué puerto abrir. Esta habilita el UDP a través de todos los puertos (0-65535).

  • ICMP personalizado – Elija esta opción para utilizar el protocolo ICMP y definir un tipo y código ICMP. Para obtener más información sobre los tipos y códigos ICMP, consulte Mensajes de control sobre el Wikipedia.

  • DNS – Seleccione esta opción cuando desee habilitar DNS en su instancia. Esto habilita TCP y UDP a través de los puertos 53.

  • HTTP – Elija esta opción cuando desee habilitar navegadores web para conectarse a un sitio web alojado en su instancia. Esto habilita TCP a través del puerto 80.

  • HTTPS – Elija esta opción cuando desee habilitar navegadores web para establecer una conexión cifrada a un sitio web alojado en su instancia. Esto habilita TCP a través del puerto 443.

  • mysql/Aurora – Elija esta opción para permitir que un cliente se conecte a una base de datos mysql o Aurora alojada en su instancia. Esto habilita TCP a través del puerto 3306.

  • Oracle-RDS – Elija esta opción para permitir que un cliente se conecte a una base de datos Oracle o RDS alojada en su instancia. Esto habilita TCP a través del puerto 1521.

  • Ping (ICMP) – Elija esta opción para habilitar su instancia para responder a las solicitudes utilizando la utilidad Ping. Esto habilita ICMP type 8 (echo) y code -1 (todos los códigos).

  • RDP – Seleccione esta opción para habilitar un cliente RDP a la instancia. Esto habilita TCP a través del puerto 3389.

  • SSH – Seleccione esta opción para permitir que un cliente SSH se conecte a su instancia. Esto habilita TCP a través del puerto 22.

Especificación de direcciones IP de origen

De forma predeterminada, las reglas del firewall permiten que todas las direcciones IP se conecten a la instancia a través del protocolo y el puerto especificados. Esto es ideal para el tráfico por ejemplo de navegadores web a través de HTTP y HTTPS. Sin embargo, esto supone un riesgo de seguridad para el tráfico por ejemplo de SSH y RDP, ya que no desea permitir que todas las direcciones IP puedan conectarse a su instancia mediante esas aplicaciones. Por ese motivo, puede optar por restringir una regla de firewall a una dirección IP o a un intervalo de direcciones IP. Puede especificar una única dirección IPv4 (por ejemplo, 203.0.113.1) o un intervalo de direcciones IPv4. En la consola de Lightsail, el intervalo se puede especificar usando un guión (por ejemplo, 192.0.2.0-192.0.2.255) o en notación de bloque de CIDR (por ejemplo, 192.0.2.0/24). Para obtener más información sobre la notación de bloques CIDR, consulte Enrutamiento entre dominios sin clase sobre el Wikipedia.

Reglas de firewall de Lightsail predeterminadas

Cuando crea una nueva instancia, el firewall está preconfigurado con el siguiente conjunto de reglas predeterminadas que permiten el acceso básico a la instancia. Las reglas predeterminadas son diferentes en función del tipo de instancia que cree. Estas reglas se muestran como aplicación, protocolo, puerto y dirección IP de origen (por ejemplo, aplicación-protocolo-puerto-dirección IP de origen).

Amazon Linux, Amazon Linux 2, centos, Debian, freebsd, opensuse y Ubuntu (sistemas operativos base)

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

  • WordPress, Ghost, Joomla! y Drupal (aplicaciones CMS)

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

    HTTPS-TCP-443: todas las direcciones IP

  • cpanel y WHM (aplicación CMS)

  • SSH - TCP - 22

    DNS (UDP) - UDP - 53

    DNS (TCP) - TCP - 53

    HTTP - TCP - 80

    HTTPS - TCP - 443

    Personalizado - TCP - 2078

    Personalizado - TCP - 2083

    Personalizado - TCP - 2087

    Personalizado - TCP - 2089

  • LAMP, Django, Node.js, MEAN, GitLab y LEMP/Nginx (pilas de desarrollo)

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

    HTTPS-TCP-443: todas las direcciones IP

  • Magento (aplicación de comercio electrónico)

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

    HTTPS-TCP-443: todas las direcciones IP

  • Redmine (aplicación de administración de proyectos)

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

    HTTPS-TCP-443: todas las direcciones IP

  • Plesk (hosting stack)

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

    HTTPS-TCP-443: todas las direcciones IP

    Personalizadas-TCP-53: todas las direcciones IP

    Personalizadas-UDP-53: todas las direcciones IP

    Personalizadas-TCP-8443: todas las direcciones IP

    Personalizadas-TCP-8447: todas las direcciones IP

  • Windows Server 2019, Windows Server 2016 y Windows Server 2012 R2

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

    RDP-TCP-3389: todas las direcciones IP

  • SQL Server Express 2016

  • SSH-TCP-22: todas las direcciones IP

    HTTP-TCP-80: todas las direcciones IP

    RDP-TCP-3389: todas las direcciones IP

  • Más información sobre los firewalls

    A continuación, se muestran algunos artículos que le ayudarán a administrar firewalls en Lightsail.