Erstellen einer Netzwerk-ACL für Ihre VPC - Amazon Virtual Private Cloud
Schritt 1: Erstellen einer Netzwerk-ACLSchritt 2: Regeln hinzufügenSchritt 3: Zuweisen eines Subnetzes zu einer Netzwerk-ACL(Optional) Netzwerk ACLs mit Firewall Manager verwalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Netzwerk-ACL für Ihre VPC

Die folgenden Aufgaben zeigen Ihnen, wie Sie eine Netzwerk-ACL erstellen, Regeln zur Netzwerk-ACL hinzufügen und die Netzwerk-ACL dann einem Subnetz zuweisen.

Schritt 1: Erstellen einer Netzwerk-ACL

Sie können für Ihre VPC benutzerdefinierte Netzwerk-ACLs erstellen. Die ersten Regeln für eine benutzerdefinierte Netzwerk-ACL blockieren den gesamten ein- und ausgehenden Datenverkehr. Die neue benutzerdefinierte Netzwerk-ACL ist standardmäßig keinem Subnetz zugewiesen und muss explizit Subnetzen zugewiesen werden.

Erstellen eines Netzwerk-Monitors mithilfe der Konsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Network ACLs aus.

  3. Klicken Sie auf Netzwerk-ACL erstellen.

  4. (Optional) Geben Sie unter Name einen Namen für Ihre Netzwerk-ACL ein.

  5. Wählen Sie für VPC die VPC aus.

  6. (Optional) Für Tags wählen Sie Tag hinzufügen aus und geben den Tag-Schlüssel und -Wert ein.

  7. Klicken Sie auf Netzwerk-ACL erstellen.

Erstellen einer Netzwerk-ACL mithilfe der Befehlszeile

Schritt 2: Regeln hinzufügen

Sie können Regeln ergänzen, die ein- oder ausgehenden Datenverkehr zulassen oder verweigern.

Regeln werden ausgehend von der Regel mit der niedrigsten Nummer der Reihe nach abgearbeitet. Wir empfehlen, zwischen den Regelnummern Lücken zu lassen (z. B. 100, 200, 300), statt aufeinanderfolgende Nummern zu verwenden (101, 102, 103). So können Sie jederzeit problemlos neue Regeln hinzufügen, ohne die vorhandenen Regeln neu nummerieren zu müssen.

Wenn Sie die EC2 Amazon-API oder ein Befehlszeilentool verwenden, können Sie Regeln nicht ändern. Sie können nur Regeln hinzufügen und löschen. Wenn Sie die Amazon VPC-Konsole verwenden, können Sie die Einträge für vorhandene Regeln ändern. Die Konsole entfernt die vorhandene Regel und fügt eine neue Regel für Sie hinzu. Wenn Sie die Reihenfolge von Regeln innerhalb der ACL ändern möchten, müssen Sie eine neue Regel mit der neuen Regelnummer hinzufügen und die ursprüngliche Regel löschen.

Hinzufügen von Regeln zu einer Netzwerk-ACL mithilfe der Konsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Netzwerk aus ACLs.

  3. Wählen Sie die Netzwerk-ACL aus.

  4. Gehen Sie zum Hinzufügen einer eingehenden Regel wie folgt vor:

    1. Wählen Sie die Registerkarte Inbound rules (Regeln für eingehenden Datenverkehr) aus.

    2. Wählen Sie auf der Seite Regeln für eingehenden Datenverkehr bearbeiten die Option Neue Regel hinzufügen aus.

    3. Geben Sie eine noch ungenutzte Regelnummer ein, einen Typ, ein Protokoll, einen Portbereich, eine Quelle und ob der Datenverkehr zugelassen oder verweigert werden soll. Bei einigen Typen werden das Protokoll und der Port automatisch ausgefüllt. Wenn Sie nach einem Portbereich gefragt werden, geben Sie eine Portnummer oder einen Portbereich (z. B. 49152-65535) ein.

      Wenn Sie ein Protokoll nutzen möchten, das nicht in der Liste enthalten ist, wählen Sie Benutzerdefiniertes Protokoll als Typ und anschließend das Protokoll aus. Weitere Informationen finden Sie unter IANA-Protokollnummern.

    4. Wählen Sie Änderungen speichern aus.

  5. Gehen Sie zum Hinzufügen einer ausgehenden Regel wie folgt vor:

    1. Wählen Sie die Registerkarte Outbound rules (Ausgehende Regeln).

    2. Wählen Sie Ausgehende Regeln bearbeiten, Neue Regel hinzufügen aus.

    3. Geben Sie eine noch ungenutzte Regelnummer ein, einen Typ, ein Protokoll, einen Portbereich, eine Quelle und ob der Datenverkehr zugelassen oder verweigert werden soll. Bei einigen Typen werden das Protokoll und der Port automatisch ausgefüllt. Wenn Sie nach einem Portbereich gefragt werden, geben Sie eine Portnummer oder einen Portbereich (z. B. 49152-65535) ein.

      Wenn Sie ein Protokoll nutzen möchten, das nicht in der Liste enthalten ist, wählen Sie Benutzerdefiniertes Protokoll als Typ und anschließend das Protokoll aus. Weitere Informationen finden Sie unter IANA-Protokollnummern.

    4. Wählen Sie Änderungen speichern aus.

Hinzufügen einer Regel zu einer Netzwerk-ACL mithilfe der Befehlszeile
Ersetzen einer Regel in einer Netzwerk-ACL mithilfe der Befehlszeile
Löschen einer Regel aus einer Netzwerk-ACL mithilfe der Befehlszeile

Schritt 3: Zuweisen eines Subnetzes zu einer Netzwerk-ACL

Damit die Regeln einer Netzwerk-ACL auf ein bestimmtes Subnetz angewendet werden können, müssen Sie das Subnetz der Netzwerk-ACL zuordnen. Sie können eine Netzwerk-ACL mehreren Subnetzen zuordnen. Ein Subnetz kann jedoch nur einer Netzwerk-ACL zugeordnet werden. Subnetze, die keiner bestimmten ACL zugewiesen sind, werden standardmäßig der Standardnetzwerk-ACL zugewiesen.

So weisen Sie ein Subnetz einer Netzwerk-ACL zu

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Netzwerk und ACLs dann die Netzwerk-ACL aus.

  3. Klicken Sie im Detailbereich auf der Registerkarte Subnet Associations auf Edit. Aktivieren Sie das Kontrollkästchen Associate für das Subnetz, um es der Netzwerk-ACL zuzuordnen, und klicken Sie auf Save.

(Optional) Netzwerk ACLs mit Firewall Manager verwalten

AWS Firewall Manager vereinfacht Ihre Netzwerk-ACL-Administrations- und Wartungsaufgaben für mehrere Konten und Subnetze. Mit Firewall Manager können Sie Konten und Subnetze in Ihrer Organisation überwachen und die von Ihnen definierten Netzwerk-ACL-Konfigurationen automatisch anwenden. Firewall Manager ist besonders nützlich, wenn Sie Ihre gesamte Organisation schützen möchten oder wenn Sie häufig neue Subnetze hinzufügen, die Sie automatisch vor einem zentralen Administratorkonto schützen möchten.

Mit einer Firewall Manager Manager-Netzwerk-ACL-Richtlinie können Sie mit einem einzigen Administratorkonto die Mindestregelsätze konfigurieren, überwachen und verwalten, die Sie in dem Netzwerk definiert haben möchten ACLs , das Sie in Ihrem gesamten Unternehmen verwenden. Sie legen fest, welche Konten und Subnetze in Ihrer Organisation in den Geltungsbereich der Richtlinie von Firewall Manager fallen. Firewall Manager meldet den Konformitätsstatus des Netzwerks ACLs für Subnetze im Geltungsbereich, und Sie können Firewall Manager so konfigurieren, dass die Wiederherstellung nicht konformer Netzwerke automatisiert wird. ACLs

Weitere Informationen finden Sie in den folgenden Ressourcen im AWS Firewall Manager -Entwicklerhandbuch: