AWS 安全组自定义 TCP 规则中端口 0 的含义

Question

我在出站安全配置中有一个自定义 TCP 规则，端口范围为 0。这个 0 是否意味着它对规则中提供的 IP 范围的所有端口开放？当我将其更改为正确的端口（5432）号时，我遇到了将此 0 作为端口的问题，之后它工作正常。

Answer 1

我假设您正在谈论安全组的入站规则（入口）和出站规则（出口）。安全组是 AWS 组件周围的防火墙 - 在您的情况下，作为您使用的端口5432PostgreSQL RDS 数据库。

我刚刚在我这边测试过。我有一个用于访问 EC2 服务器的有效入站规则。当我将端口更改为0- 我无法再访问它。如果您要允许入站/出站流量到达您指定的所有端口：0-65535

据我所知，0单独指定的端口似乎没有提供任何访问权限。

除了0-65535端口范围之外，使用 Cloudformation 时还有另一个有效端口值：-1。这用于 ICMP 和 ICMPv6 协议。这里有些提一下。-1使用 AWS GUI 时无法指定端口号。

如果您担心安全性并且只想为自己创建入站规则 - 请确保将/32CIDR 指定为 IP 地址的后缀，如上图所示，其中跨所有端口向该1.2.3.4IP 地址上的某人提供 TCP 访问。/32使用除允许访问其他 IP 地址之外的 CIDR O_O

如果您不熟悉使用安全组，还请注意以下事项：

安全组是有状态的 - 如果您从实例发送请求，则无论入站安全组规则如何，都允许该请求的响应流量流入。无论出站规则如何，都允许对允许的入站流量的响应流出。

换句话说，如果您错误地认为必须创建入站\出站规则来处理对允许的入站\出站流量的响应，则不要通过不必要地将入站规则复制到出站规则（或vica verca）来创建可能的安全风险。