AWS EC2如何通过安全组 ip 访问

0

我想立刻禁用某一IP到 EC2 的流量,如何操作?在我的环境中去掉了安全组中相应的rule,例如 1.1.1.1 的 80 端口,但是我发现并没有生效,1.1.1.1 仍然能够连接到 EC2 内进行业务访问。

已提问 1 年前344 查看次数
1 回答
1

你好,

要允许或屏蔽您的 EC2 实例的特定的 IP 地址,您可以在 VPC 中使用网络访问控制列表 (ACL) 或安全组规则。网络 ACL 和安全组规则充当防火墙,允许或阻止 IP 地址访问您的资源。

我们还有一篇知识中心文章,里面有一段YouTube视频,演示了同样的用法。

https://aws.amazon.com/premiumsupport/knowledge-center/ec2-block-or-allow-ips/

另请注意,安全组是有状态的,如果您从您的实例发送请求,则无论入站安全组规则如何,该请求的响应流量都允许流入。对于 VPC 安全组,这也意味着无论出站规则如何,对允许的入站流量的响应都可以流出,而网络 ACL 是无状态的,这意味着对允许的入站流量的响应受出站流量规则的约束。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html



-就你而言,你提到你删除了了 1.1.1.1 的端口 80。但是,目前尚不清楚你是只从入口还是出口中将其移除,还是两者兼而有之? -另外,当你提到-`1.1.1.1 仍然能够连接到 EC2 进行业务访问时,你是否确认通信没有在任何其他端口(如 HTTPS 443)上进行? -此外,您是否启用了 VPC 日志?我之所以问,是因为你可以配置/利用 VPC 日志,因为这些日志将记录 VPC、VPC 子网或弹性网络接口 (ENI) 的网络流量,这也可以帮助进一步进行故障排除。

https://aws.amazon.com/blogs/aws/vpc-flow-logs-log-and-view-network-traffic-flows/

https://docs.amazonaws.cn/en_us/vpc/latest/userguide/flow-logs.html

流日志可以帮助您完成许多任务,例如:

 诊断过于严格的安全组规则

 监控到达您的实例的流量

 确定流入和流出网络接口的方向


另外,由于 rePost 是一个公共频道,请不要提及任何特定的资源配置,例如您的 EC2 ARN 或账户号等。如果您在上述安全组规则配置方面仍然遇到问题,我建议您直接联系我们的 EC2 高级支持团队。

profile pictureAWS
支持工程师
Yash_C
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则