我正在努力了解 AWS 安全组描述的端口范围以及它们的行为方式。我是一名拥有多年编写网络软件经验的软件开发人员,所以我可能只是把事情复杂化了。
我真正想要的是一种将我的网络知识与 AWS 的命名和行为联系起来的方法。
最让我困惑的是,在 TCP 或 UDP 数据包上有两个端口号(发送方和接收方)。这适用于数据包是从服务器发送到客户端还是从客户端发送到服务器。所以防火墙规则理论上可以引用4个不同的端口:
- 入站数据包接收端口
- 入站数据包发送端口
- 出站数据包接收端口
- 出站数据包发送端口
我意识到任何(TCP)连接实际上只有两个端口,因为入站和出站数据包是彼此的镜像。
现在考虑到所有这些,AWS 控制台只有一个用于入站规则的端口和一个用于出站规则的端口。当我查找示例时,它们通常包含允许同一组中的每个端口出站作为单个端口入站的参考(请参阅terraform 示例)。
这究竟是做什么的?
我很担心,因为...我似乎需要这个出口规则。这似乎允许任何客户端从任何端口连接到端口 443。(没关系)。但是,一个安全组的出口规则能否与另一个安全组的入口规则结合使用?
例如:如果我添加一个网络组让我的机器充当 HTTP(S) 服务器,就像示例一样,然后我添加另一个规则让它充当 HTTP(S) 客户端,那么我将有一个规则允许来自任何软件的任何端口和一个允许任何端口到任何地方的规则。这是否完全打开了防火墙,还是每个数据包都必须完全匹配一个安全组?
AWS 安全组只是一个防火墙。
允许一切的出口规则只是允许您的实例与任何地方建立传出连接。
如果您在两个实例之间建立连接,则出口规则适用于建立传出连接的实例,而入口规则适用于接收传入连接的实例。这些可能位于不同的安全组、不同的区域,甚至不同的 AWS 账户中。另一个实例甚至可能在 Internet 上的其他地方。在大多数情况下,您无法看到另一端的防火墙规则,它们也不相关,因为它们不是您负责的系统。
至于为什么只指定一个端口,几乎总是只有一个端口是相关的:目标端口。源端口几乎总是动态分配的,对防火墙没有用处。只有在极少数情况下,源端口在理论上甚至在防火墙规则中都很重要,而且我想不出在 AWS 上运行实例时会遇到任何问题。