10/21 2020

【PHP on AWS】Day 10-轉換Amazon EC2的網路與資安問題

Nextlink PHP on AWS 網路資安

AWS Security group 功能
Security group 的功能很簡單,他只是限定某個特定的 IP、Port 或是某範圍的 IP、Port,限定這些東西能不能進出,可以把它視為一道非常簡單的防火牆。設定完 Security group 後,再套用到某些機器上,來限制跟這台機器有關的網路進出,這就是 Security group 的功能。

AWS Security group的費用

Security group 完全是免費的,所以大家可以不用擔心設定錯誤造成費用的產生,不過網路本身是必須收費的,所以一個好的Security group設定,可以幫助我們降低不當的網路流量產生的費用。

設定AWS Security group

瞭解了 Security group 的設定後,我們可以來看一下 Security group 的設定介面:

首先我們來看一下

上方四個頁籤,最左邊的 Description 與最右邊的 Tags,都是針對這一個 Security group 的設定,用來輔助使用者認出這個 Security group 而已,並沒有特別要講解的部份,而中間的

Inbound:是針對網路可進來的部份,也就是我們的伺服器要對外開放的部份。

Outbound:是針對網路可出去的部份,也就是我們的伺服器可否對外連線部份,通常不會限制。

再來是每一列所代表的意義:

Type:AWS 有設定好一些特定的Port來幫助我們快速設定,例如:MySQL 的 Port 是 3306 之類的,如果不在 AWS 設定的範圍內的話,就要自行設定了。

Protocol:基本上只有三種 ALL、TCP、UDP,ALL 就是 TCP+UDP,不過這一欄都是系統幫忙設定,可以不用太去在意。

Port Range:顧名思義,這欄是用來設定可以開放的 Port 範圍,可以指定單一 Port,或是連續的 Port,例如:0-65535。

Source:設定來源端的IP,也就是說我們可以設定特定的 IP 來限制誰才能進來訪問我們的伺服器。

我們上面看了那麼多,其實重點在最後這一項,也就是這個 Source 到底要怎麼去設定呢? 0.0.0.0/0 又代表著什麼?