本实验旨在通过 AWS 控制台,掌握安全组入站规则的动态修改方法,理解规则变更的即时生效特性。实验将围绕一个已部署的 Web 服务器安全组进行操作:首先查看当前规则,然后新增一条允许特定 IP 访问 SSH 端口的规则,接着将原有的 HTTP 规则端口从 80 修改为 8080,最后删除一条过期的临时规则。直观体会安全组作为云上虚拟防火墙的灵活管控能力,以及有状态特性和"默认拒绝、显式允许"的白名单安全模型。
AWS 安全组的入站规则定义了哪些流量被允许进入 EC2 实例,支持在不重启实例的情况下实时修改规则,且变更立即生效。
本次采用AWS Console界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行(CLI)部署、代码部署 (CloudFomation、Terraform等)、以及其它开发语言(SDK)完成作业。
步骤一:查看安全组详情。
登录 AWS 控制台,进入 VPC 控制台,在左侧导航栏选择「安全组」,找到已绑定 Web 实例的安全组(如 Web-SG),点击进入详情页。
步骤二:新增入站规则。
点击「编辑入站规则」→「添加规则」→类型选择 SSH,协议 TCP,端口 22,来源填写个人公网 IP(如 203.0.113.50/32),描述填写对该规则的简要说明;,点击「保存规则」。
步骤三:修改规则。
在入站规则列表中,找到类型为 HTTP、端口为 80 的规则,点击右侧「编辑」→将端口范围从 80 修改为 8080→点击「保存规则」。
步骤四:删除规则。
测试第三步骤中的规则生效后,勾选该规则前的复选框,点击「删除规则」→确认删除。
1. 从个人公网 IP 使用 SSH 连接 Web 实例,命令为 ssh -i xxx.pem ec2-user@[公网IP],连接成功,证明新增的 SSH 规则已即时生效。
2. 在浏览器中访问 http://[公网IP]:8080,页面正常加载,证明端口修改规则已生效;而访问原端口 80 则返回连接拒绝,证明旧规则已被正确替换。
3. 删除入栈规则(开放 8080 端口)后,再次在浏览器中访问 http://[公网IP]:8080,页面无法加载。