本实验旨在通过 AWS 控制台,深入理解并确认 Amazon VPC 安全组入站规则中"流量源(Source)"字段所支持的全部类型及其使用场景。学员需要能够准确区分并正确使用 CIDR 地址块、安全组 ID 引用、单个 IP 地址以及前缀列表这四种流量源类型,并理解它们在实际网络安全策略中的意义与差异。
安全组入站规则中的"来源(Source)"字段决定了哪些流量被允许进入实例。AWS 提供了四种流量源类型:① CIDR 地址块(如 0.0.0.0/0 或 10.0.0.0/16),用于按 IP 网段授权;② 安全组 ID(如 sg-0a1b2c3d),引用另一个安全组作为流量来源,实现实例间的动态隔离;③ 单个 IP 地址(如 203.0.113.50/32),用于精确授权某一台机器;④ 前缀列表(如 pl-xxxxxxx),AWS 托管的 IP 地址集合,常用于授权访问 S3、DynamoDB 等 AWS 服务。
本次采用AWS Console界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行(CLI)部署、代码部署 (CloudFomation、Terraform等)、以及其它开发语言(SDK)完成作业。
步骤一:创建安全组。
登录 AWS 控制台,进入 VPC 控制台,选择「安全组」,创建两个安全组:Web-SG 和 App-SG。
步骤二:配置入站规则源为 CIDR 类型。
编辑 Web-SG 入站规则,类型选 HTTP(TCP 80),来源填写 0.0.0.0/0,描述为"Allow all internet"。保存后确认规则列表中来源显示为 CIDR 格式。
步骤三:配置入站规则源为安全组 ID 类型。
编辑 App-SG 入站规则,类型选 MySQL(TCP 3306),来源点击下拉框选择「安全组」,在弹窗中输入 Web-SG 的组 ID(如 sg-0abc123def456),描述为"Allow from Web-SG only"。保存后确认来源显示为 sg-0abc123def456。
步骤四:配置入站规则源为单个 IP 类型。
编辑 Web-SG 入站规则,新增一条 SSH 规则(TCP 22),来源填写个人公网 IP 加 /32 后缀(如 203.0.113.50/32),描述为"SSH from my laptop"。保存确认。
步骤五:配置入站规则源为前缀列表类型。
编辑 App-SG 入站规则,新增一条 HTTPS 规则(TCP 443),来源选择「前缀列表」,搜索并选择 com.amazonaws.us-east-1.s3,描述为"Allow S3 access"。保存确认。
1. 从任意公网 IP 访问 Web 实例的 80 端口,连接成功,证明 CIDR 0.0.0.0/0 规则生效。
2. 从个人电脑 SSH 连接 Web 实例,成功;换一台电脑尝试连接,被拒绝,证明 /32 精确 IP 规则生效。
3. 在 Web 实例上执行 curl https://s3.cn-north-1.amazonaws.com,成功返回数据,证明前缀列表规则允许访问 S3。
4. 从 Web 实例连接 App 实例的 3306 端口,成功;从其他没有附加 Web-SG 安全组的实例App 实例的 3306 端口,失败。