restricted-common-ports
重要
对于此规则,规则标识符(RESTRICTED_INCOMING_TRAFFIC)和规则名称(restricted-common-ports)是不同的。
检查所用安全组是否不允许不受限制的传入传输控制协议(TCP)流量进入指定端口。在以下情况下,此规则为 COMPLIANT:
禁止所有 TCP 流量访问端口。
端口访问通过入站规则 向 TCP 流量开放,源地址可以是单个 IPv4 地址,也可以是用 CIDR 表示的 IPv4 地址范围,但不包括所有 IPv4 地址(“0.0.0.0/0”)。
端口访问通过入站规则 向 TCP 流量开放,源地址可以是单个 IPv6 地址,也可以是用 CIDR 表示的 IPv6 地址范围,但不包括所有 IPv6 地址(“::/0)”)。
如果入站 TCP 连接的 IP 地址不限于指定端口,则此规则为 NON_COMPLIANT。
标识符:RESTRICTED_INCOMING_TRAFFIC
资源类型:AWS::EC2::SecurityGroup
触发器类型:配置更改和定期
Amazon Web Services 区域:除以下区域外的所有受支持 Amazon 区域:Amazon Secret - West 区域
参数:
- blockedPort1(可选)
- 类型:int
- 默认值:20
-
已阻止的 TCP 端口号。默认值 20 对应于文件传输协议(FTP)数据传输。
- blockedPort2(可选)
- 类型:int
- 默认值:21
-
已阻止的 TCP 端口号。默认值 21 对应于文件传输协议(FTP)命令控制。
- blockedPort3(可选)
- 类型:int
- 默认值:3389
-
已阻止的 TCP 端口号。默认值 3389 对应于远程桌面协议(RDP)。
- blockedPort4(可选)
- 类型:int
- 默认值:3306
-
已阻止的 TCP 端口号。默认值 3306 对应于 MySQL 协议。
- blockedPort5(可选)
- 类型:int
-
已阻止的 TCP 端口号。用于与您的环境相关的特定端口。
- blockedPorts(可选)
- 类型:CSV
-
被阻止的 TCP 端口号的逗号分隔列表。例如,20, 21, 3306, 3389。
Amazon CloudFormation 模板
要使用 Amazon Config 模板创建 Amazon CloudFormation 托管规则,请参阅 使用 Amazon Config 模板创建 Amazon CloudFormation 托管规则