Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern Sie den Instanzverkehr mit Firewalls in Lightsail
Die Firewall in der Amazon Lightsail-Konsole fungiert als virtuelle Firewall, die den Verkehr kontrolliert, der über ihre öffentliche IP-Adresse eine Verbindung zu Ihrer Instance herstellen darf. Jede Instanz, die Sie in Lightsail erstellen, hat zwei Firewalls: eine für IPv4 Adressen und eine für Adressen. IPv6 Jede Firewall enthält eine Reihe von Regeln, die den Datenverkehr filtern, der in die Instance eingeht. Beide Firewalls sind unabhängig voneinander. Sie müssen Firewallregeln für und separat konfigurieren. IPv4 IPv6 Bearbeiten Sie die Firewall Ihrer Instance jederzeit, indem Sie Regeln hinzufügen und löschen, um den Datenverkehr zuzulassen oder einzuschränken.
## Lightsail-Firewalls
Jede Lightsail-Instanz hat zwei Firewalls; eine für IPv4 Adressen und eine für Adressen. IPv6 Der gesamte Internetverkehr zu und von Ihrer Lightsail-Instance durchläuft deren Firewalls. Eine Instance-Firewall steuert den Internetdatenverkehr, der in Ihre Instance fließen darf. Sie steuert jedoch nicht den hinaus fließenden Datenverkehr. Die Firewall erlaubt den gesamten ausgehenden Datenverkehr. Bearbeiten Sie die Firewall Ihrer Instance jederzeit, indem Sie Regeln hinzufügen und löschen, um den Datenverkehr zuzulassen oder einzuschränken. Beachten Sie, dass beide Firewalls unabhängig voneinander sind. Sie müssen die Firewallregeln für und separat konfigurieren. IPv4 IPv6
Firewall-Regeln sind stets zulassend, Sie können keine Regeln erstellen, die den Zugriff verweigern. Sie fügen Ihrer Firewall Regeln hinzu, damit der Datenverkehr Ihre Instance erreichen kann. Wenn Sie der Firewall Ihrer Instanz eine Regel hinzufügen, geben Sie das zu verwendende Protokoll, den zu öffnenden Port IPv4 sowie die IPv6 Adressen an, die eine Verbindung zu Ihrer Instanz herstellen dürfen, wie im folgenden Beispiel gezeigt (für IPv4). Sie können auch einen Protokolltyp der Anwendungsebene angeben, bei dem es sich um eine Voreinstellung handelt, die das Protokoll und den Portbereich für Sie auf Grundlage des für Ihre Instance zu verwendenden Diensts angibt.
![\[IPv4 Firewall in der Lightsail-Konsole\]](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/firewall-rule-example.png)
**Wichtig**
Firewall-Regeln betreffen nur den Datenverkehr, der durch die öffentliche IP-Adresse einer Instance fließt. Es wirkt sich nicht auf den Datenverkehr aus, der über die private IP-Adresse einer Instanz eingeht. Dieser kann von Lightsail-Ressourcen in Ihrem Konto oder von Ressourcen in einer Peering-Virtual Private Cloud (VPC) in derselben AWS-Region stammen. AWS-Region
Firewall-Regeln und ihre konfigurierbaren Parameter werden in den nächsten Abschnitten dieses Handbuchs erläutert.
## Firewall-Regeln erstellen
Erstellen Sie eine Firewall-Regel, damit ein Client eine Verbindung mit Ihrer Instance oder mit einer Anwendung herstellen kann, die auf Ihrer Instance ausgeführt wird. Um beispielsweise allen Webbrowsern die Verbindung mit der WordPress Anwendung auf Ihrer Instanz zu ermöglichen, konfigurieren Sie eine Firewallregel, die das Transmission Control Protocol (TCP) über Port 80 von einer beliebigen IP-Adresse aus aktiviert. Wenn diese Regel bereits in der Firewall Ihrer Instanz konfiguriert ist, können Sie sie löschen, um zu verhindern, dass Webbrowser eine Verbindung mit der WordPress Anwendung auf Ihrer Instanz herstellen können.
**Wichtig**
Sie können die Lightsail-Konsole verwenden, um bis zu 30 Quell-IP-Adressen gleichzeitig hinzuzufügen. Verwenden Sie die Lightsail-API AWS Command Line Interface (AWS CLI) oder ein AWS SDK, um bis zu 60 IP-Adressen gleichzeitig hinzuzufügen. Dieses Kontingent wird für IPv4 Regeln und Regeln separat durchgesetzt. IPv6 Eine Firewall kann beispielsweise 60 Regeln für eingehenden IPv4 Datenverkehr und 60 Regeln für eingehenden Datenverkehr haben. IPv6 Wir empfehlen Ihnen, einzelne IP-Adressen in CIDR-Bereichen zu konsolidieren. Weitere Informationen finden Sie im Abschnitt [Quell-IP-Adressen angeben](#specifying-source-ip-addresses) in diesem Leitfaden.
Sie können auch einen SSH-Client aktivieren, um eine Verbindung mit Ihrer Instance herzustellen, um administrative Aufgaben auf dem Server auszuführen, indem Sie eine Firewall-Regel konfigurieren, die TCP über Port 22 nur von der IP-Adresse des Computers ermöglicht, der eine Verbindung herstellen muss. In diesem Fall möchten Sie nicht zulassen, dass eine beliebige IP-Adresse eine SSH-Verbindung mit Ihrer Instance herstellen kann, da dies ein Sicherheitsrisiko für Ihre Instance bedeuten könnte.
**Anmerkung**
Die in diesem Abschnitt beschriebenen Firewall-Regelbeispiele können standardmäßig in der Firewall Ihrer Instance vorhanden sein. Weitere Informationen finden Sie unter [Standard-Firewall-Regeln](#default-lightsail-firewall-rules) weiter unten in diesem Handbuch.
Wenn mehr als eine Regel für einen bestimmten Port vorliegt, wird die toleranteste Regel angewendet. Beispiel: Sie fügen eine Regel hinzu, die den Zugriff auf TCP-Port 22 (SSH) von der IP-Adresse 192.0.2.1 ermöglicht. Anschließend fügen Sie eine weitere Regel hinzu, die den Zugriff auf TCP-Port 22 von allen Benutzern ermöglicht. Infolgedessen hat jeder Benutzer Zugriff auf TCP-Port 22.
## Protokolle angeben
Ein Protokoll ist das Format, in dem Daten zwischen zwei Computern übertragen werden. Mit Lightsail können Sie die folgenden Protokolle in einer Firewallregel angeben:
+ **TCP (Transmission Control Protocol)** wird hauptsächlich zum Herstellen und Verwalten einer Verbindung zwischen Clients und der auf Ihrer Instance ausgeführten Anwendung verwendet, bis der Datenaustausch abgeschlossen ist. Es handelt sich um ein weit verbreitetes Protokoll, das Sie häufig in den Firewall-Regeln angeben können. TCP garantiert, dass keine übertragenen Daten fehlen und dass alle gesendeten Daten an den beabsichtigten Empfänger weitergeleitet werden. Es ist ideal für Netzwerkanwendungen, die eine hohe Zuverlässigkeit benötigen und für die Übertragungszeit relativ weniger kritisch ist, wie Web-Browsing, Finanztransaktionen und Textnachrichten. Diese Anwendungsfälle verlieren einen deutlich an Wert, wenn Teile der Daten verloren gehen.
+ **UDP (User Datagram Protocol)** wird hauptsächlich für den Aufbau von Verbindungen mit geringer Latenz und verlusttolerierenden Verbindungen zwischen Clients und der auf Ihrer Instance ausgeführten Anwendung verwendet. Es ist ideal für Netzwerkanwendungen, in denen die empfundene Latenz kritisch ist, wie Spiele, Sprach- und Videokommunikation. Bei diesen Anwendungsfällen kann es zu Datenverlust kommen, ohne dass die wahrgenommene Qualität beeinträchtigt wird.
+ **Internet Control Message Protocol (ICMP)** wird in erster Linie zur Diagnose von Problemen bei der Netzwerkkommunikation verwendet, z. B. um festzustellen, ob Daten das beabsichtigte Ziel rechtzeitig erreichen. Es ist ideal für das Ping-Dienstprogramm, mit dem Sie die Geschwindigkeit der Verbindung zwischen Ihrem lokalen Computer und Ihrer Instance testen können. Es gibt an, wie lange Daten benötigen, bis sie Ihre Instance erreichen und zu Ihrem lokalen Computer zurückkehren.
**Anmerkung**
Wenn Sie der IPv6 Firewall Ihrer Instanz mithilfe der Lightsail-Konsole eine ICMP-Regel hinzufügen, wird die Regel automatisch für die Verwendung konfiguriert. ICMPv6 *Weitere Informationen finden Sie unter [Internet Control Message Protocol](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol_for_IPv6) auf Wikipedia. IPv6*
+ **All** wird verwendet, um den gesamten Protokolldatenverkehr in Ihre Instance fließen zu lassen. Geben Sie dieses Protokoll an, wenn Sie nicht sicher sind, welches Protokoll angegeben werden soll. Dies schließt alle Internetprotokolle ein, nicht nur die oben angegebenen. Weitere Informationen finden Sie unter [Protokollnummern](https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml) auf der *Website der Internet Assigned Numbers Authority*.
## Angeben von Ports
Ähnlich wie physische Ports auf Ihrem Computer, mit denen Ihr Computer mit Peripheriegeräten wie Tastatur und Maus kommunizieren kann, dienen Netzwerkports als Internet-Kommunikationsendpunkte für Ihre Instance. Wenn ein Computer versucht, eine Verbindung mit Ihrer Instance herzustellen, wird ein Port verfügbar gemacht, über den die Kommunikation hergestellt werden kann.
Die Ports, die Sie in einer Firewall-Regel angeben können, können zwischen 0 und 65535 liegen. Wenn Sie eine Firewall-Regel erstellen, mit der ein Client eine Verbindung mit Ihrer Instance herstellen kann, geben Sie das zu verwendende Protokoll (siehe weiter oben in diesem Handbuch) und die Portnummern an, über die die Verbindung hergestellt werden kann. Sie können auch die IP-Adressen angeben, die mithilfe des Protokolls und des Ports Verbindung herstellen dürfen. Dies wird im nächsten Abschnitt dieses Handbuchs behandelt.
Hier finden Sie einige der häufig verwendeten Ports und die Dienste, die sie verwenden:
+ Für die Datenübertragung über File Transfer Protocol (FTP) wird Port 20 verwendet.
+ Die Befehlssteuerung über FTP verwendet Port 21.
+ Secure Shell (SSH) verwendet Port 22.
+ Telnet-Remote-Login-Dienst und unverschlüsselte Textnachrichten verwenden Port 23.
+ Das SMTP-E-Mail-Routing (Simple Mail Transfer Protocol) verwendet Port 25.
**Wichtig**
Um SMTP auf Ihrer Instance zu aktivieren, müssen Sie auch Reverse DNS für Ihre Instance konfigurieren. Andernfalls ist Ihre E-Mail möglicherweise auf TCP-Port 25 beschränkt. Weitere Informationen finden Sie unter [Konfiguration von Reverse-DNS für einen E-Mail-Server auf Ihrer Amazon Lightsail-Instance](amazon-lightsail-configuring-reverse-dns.md).
+ Der Domain Name System (DNS)-Dienst verwendet Port 53.
+ Hypertext Transfer Protocol (HTTP), mit dem Webbrowser eine Verbindung mit Websites herstellen, verwendet Port 80.
+ Das Post Office Protocol (POP3), das von E-Mail-Clients zum Abrufen von E-Mails von einem Server verwendet wird, verwendet Port 110.
+ Network News Transfer Protocol (NNTP) verwendet Port 119.
+ Network Time Protocol (NTP) verwendet Port 123.
+ Internet Message Access Protocol (IMAP), das zur Verwaltung digitaler E-Mails genutzt wird, verwendet Port 143.
+ SNMP (Simple Network Management Protocol) verwendet Port 161.
+ HTTP Secure (HTTPS) HTTP Over, das von Webbrowsern TLS/SSL verwendet wird, um eine verschlüsselte Verbindung zu Websites herzustellen, verwendet Port 443.
Weitere Informationen finden Sie unter [Service Name and Transport Protocol Port Number Registry](https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml) auf der *Website der Internet Assigned Numbers Authority*.
## Protokolltypen der Anwendungsebene angeben
Sie können einen Protokolltyp der Anwendungsebene angeben, wenn Sie eine Firewall-Regel erstellen. Dabei handelt es sich um Voreinstellungen, die das Protokoll und den Portbereich der Regel auf Grundlage des Diensts angeben, den Sie für Ihre Instance aktivieren möchten. Auf diese Weise müssen Sie nicht nach dem gemeinsamen Protokoll und den Ports suchen, die für Dienste wie SSH, RDP, HTTP und andere verwendet werden sollen. Sie können einfach diese Protokolltypen der Anwendungsebene auswählen, und das Protokoll und der Port werden für Sie angegeben. Wenn Sie Ihr eigenes Protokoll und Ihren eigenen Port angeben möchten, können Sie als Protokolltyp der Anwendungsebene **Custom rule (Benutzerdefinierte Regel)** auswählen, mit dem Sie diese Parameter steuern können.
**Anmerkung**
Sie können den Protokolltyp der Anwendungsebene nur mithilfe der Lightsail-Konsole angeben. Sie können den Protokolltyp der Anwendungsebene nicht mit der Lightsail-API, AWS Command Line Interface (AWS CLI) oder angeben. SDKs
Die folgenden Protokolltypen auf Anwendungsebene sind in der Lightsail-Konsole verfügbar:
+ **Custom (Benutzerdefiniert)** – wählen Sie diese Option aus, um Ihr eigenes Protokoll und Ihre Ports anzugeben.
+ **All protocols (Alle Protokolle)** – wählen Sie diese Option aus, um alle Protokolle anzugeben und eigene Ports anzugeben.
+ **All TCP (Alle TCP)** – wählen Sie diese Option aus, wenn Sie das TCP-Protokoll verwenden möchten, sich aber nicht sicher sind, welcher Port geöffnet werden soll. Dadurch wird TCP über alle Ports (0-65535) aktiviert.
+ **All UDP (Alle UDP)** – wählen Sie diese Option, aus wenn Sie das UDP-Protokoll verwenden möchten, sich aber nicht sicher sind, welcher Port geöffnet werden soll. Dies ermöglicht UDP über alle Ports (0-65535).
+ **Alle ICMP** – wählen Sie diese Option aus, um alle ICMP-Typen und -Codes anzugeben.
+ **Custom ICMP (Benutzerdefiniertes ICMP)** – wählen Sie diese Option aus, um das ICMP-Protokoll zu verwenden und einen ICMP-Typ und -Code zu definieren. Weitere Informationen zu ICMP-Typen und -Codes finden Sie unter [Control-Messages](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Control_messages) auf *Wikipedia*.
+ **DNS** – wählen Sie diese Option aus, wenn Sie DNS für Ihre Instance aktivieren möchten. Dies ermöglicht TCP und UDP über Ports 53.
+ **HTTP** – wählen Sie diese Option aus, wenn Sie Webbrowsern die Verbindung zu einer Website ermöglichen möchten, die auf Ihrer Instance gehostet wird. Dadurch wird TCP über Port 80 aktiviert.
+ **HTTPS** – wählen Sie diese Option aus, wenn Sie Webbrowsern ermöglichen möchten, eine verschlüsselte Verbindung mit einer Website herzustellen, die auf Ihrer Instance gehostet wird. Dies ermöglicht TCP über Port 443.
+ **MySQL/Aurora** – wählen Sie diese Option aus, damit ein Client eine Verbindung mit einer MySQL- oder Aurora-Datenbank herstellen kann, die auf Ihrer Instance gehostet wird. Dies ermöglicht TCP über Port 3306.
+ **Oracle-RDS** – wählen Sie diese Option aus, um einem Client die Verbindung mit einer Oracle- oder RDS-Datenbank zu ermöglichen, die auf Ihrer Instance gehostet wird. Dies ermöglicht TCP über Port 1521.
+ **Ping (ICMP)** – wählen Sie diese Option aus, damit Ihre Instance mit dem Ping-Dienstprogramm auf Anfragen antworten kann. Auf der IPv4 Firewall werden dadurch ICMP-Typ 8 (Echo) und Code -1 (alle Codes) aktiviert. Auf der IPv6 Firewall werden dadurch ICMP-Typ 129 (Echoantwort) und Code 0 aktiviert.
+ **RDP** – wählen Sie diese Option aus, um einem RDP-Client die Verbindung mit Ihrer Instance zu ermöglichen. Dies ermöglicht TCP über Port 3389.
+ **SSH** – wählen Sie diese Option aus, um einem SSH-Client die Verbindung mit Ihrer Instance zu ermöglichen. Dies ermöglicht TCP über Port 22.
## Quell-IP-Adressen angeben
Standardmäßig erlauben Firewall-Regeln, dass alle IP-Adressen über das angegebene Protokoll und den angegebenen Port eine Verbindung mit Ihrer Instance herstellen können. Dies ist ideal für Datenverkehr wie Webbrowser über HTTP und HTTPS. Dies stellt jedoch ein Sicherheitsrisiko für Datenverkehr wie SSH und RDP dar, da Sie nicht zulassen sollten, dass alle IP-Adressen über diese Anwendungen eine Verbindung mit Ihrer Instance herstellen können. Aus diesem Grund können Sie sich dafür entscheiden, eine Firewallregel auf eine IPv4 oder IPv6 Adresse oder einen Bereich von IP-Adressen zu beschränken.
+ **Für die IPv4 Firewall** — Sie können eine einzelne IPv4 Adresse (z. B. 203.0.113.1) oder einen Adressbereich angeben. IPv4 In der Lightsail-Konsole kann der Bereich mit einem Bindestrich (z. B. 192.0.2.0-192.0.2.255) oder in CIDR-Blocknotation (z. B. 192.0.2.0/24) angegeben werden. Weitere Informationen zur CIDR-Block-Notation finden Sie unter [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) auf *Wikipedia*.
+ **Für die IPv6 Firewall** — Sie können eine einzelne IPv6 Adresse (z. B. 2001:0 db 8:85 a 3:0000:0000:8 a2e: 0370:7334) oder einen Adressbereich angeben. IPv6 In der Lightsail-Konsole kann der IPv6 Bereich nur mit der CIDR-Blocknotation angegeben werden (z. B. 2001:db8: :/32). [https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#IPv6_CIDR_blocks](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#IPv6_CIDR_blocks)
## Standard-Lightsail-Firewallregeln
Wenn Sie eine neue Instanz erstellen, sind ihre IPv4 und die IPv6 Firewalls mit den folgenden Standardregeln vorkonfiguriert, die den Basiszugriff auf Ihre Instanz ermöglichen. Die Standardregeln unterscheiden sich je nach Instance-Typ, den Sie erstellen. Diese Regeln werden als Anwendungs-, Protokoll-, Port- und Quell-IP-Adresse aufgelistet (z. B. Anwendung – Protokoll – Port – Quell-IP-Adresse).
**AlmaLinux, Amazon Linux 2, Amazon Linux 2023CentOS,Debian,FreeBSD,openSUSE, und Ubuntu (Basisbetriebssysteme)**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
**WordPress, Geist, Joomla\$1 PrestaShop, und Drupal (CMS-Anwendungen)**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
**cPanel & WHM (CMS-Anwendung)**
SSH – TCP – 22 – alle IP-Adressen
DNS (UDP) - UDP - 53 - alle IP-Adressen
DNS (TCP) - TCP - 53 - alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
Benutzerdefiniert – TCP – 2078 – alle IP-Adressen
Benutzerdefiniert – TCP – 2083 – alle IP-Adressen
Benutzerdefiniert – TCP – 2087 – alle IP-Adressen
Benutzerdefiniert – TCP – 2089 – alle IP-Adressen
**LAMP, Django, Node.js GitLab, MEAN und Nginx (Entwicklungsstapel)**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
**Magento (E-Commerce-Anwendung)**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
**Redmine (Projektmanagementanwendung)**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
**Plesk (Hosting Stack)**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
HTTPS – TCP – 443 – alle IP-Adressen
Benutzerdefiniert – TCP – 53 – alle IP-Adressen
Benutzerdefiniert – UDP – 53 – alle IP-Adressen
Benutzerdefiniert – TCP – 8443 – alle IP-Adressen
Benutzerdefiniert – TCP – 8447 – alle IP-Adressen
**Windows Server 2022, Windows Server 2019 und Windows Server 2016**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
RDP – TCP – 3389 – alle IP-Adressen
**SQL Server Express 2022, SQL Server Express 2019 und SQL Server Express 2016**
SSH – TCP – 22 – alle IP-Adressen
HTTP – TCP – 80 – alle IP-Adressen
RDP – TCP – 3389 – alle IP-Adressen
# Firewallregeln zu Lightsail-Instanzen hinzufügen
Sie können Regeln zu den IPv6 Firewalls IPv4 und den Firewalls Ihrer Amazon Lightsail-Instance hinzufügen, um den Datenverkehr zu kontrollieren, der sich mit ihr verbinden darf. Wenn Sie eine Firewallregel hinzufügen, können Sie den Protokolltyp, das Protokoll, die Ports und die Quelle IPv4 oder IPv6 Adressen auf Anwendungsebene angeben, die eine Verbindung zu Ihrer Instance herstellen dürfen. Weitere Informationen zu Firewalls finden Sie unter [Firewall und Ports](understanding-firewall-and-port-mappings-in-amazon-lightsail.md).
## Hinzufügen und Bearbeiten von Instance-Firewall-Regeln
Gehen Sie wie folgt vor, um Firewallregeln in der Lightsail-Konsole hinzuzufügen oder zu bearbeiten.
1. Melden Sie sich bei der [Lightsail-Konsole](https://lightsail.aws.amazon.com/) an.
1. Wählen Sie im linken Navigationsbereich die Option **Instances** aus.
1. Wählen Sie den Namen der Instance aus, für die Sie eine Firewall-Regel hinzufügen oder bearbeiten möchten.
1. Wählen Sie auf der Verwaltungsseite Ihrer Instance die Registerkarte **Networking (Netzwerk)** aus.
Auf der Registerkarte **Netzwerk** werden die öffentlichen und privaten IP-Adressen Ihrer Instanz sowie die konfigurierten IPv4 IPv6 Firewalls für Ihre Instance angezeigt.
**Anmerkung**
Die IPv6 Firewall wird nur angezeigt, wenn Sie sie IPv6 für die Instanz aktiviert haben. Weitere Informationen finden Sie unter [Aktivieren oder Deaktivieren IPv6](amazon-lightsail-enable-disable-ipv6.md).
1. Führen Sie je nachdem, ob es sich bei der Quell-IP für die Regel um eine IPv6 Oder-Adresse handelt, einen IPv4 der folgenden Schritte aus:
+ Um eine IPv4 Firewallregel hinzuzufügen, scrollen Sie auf der Seite nach unten zum Abschnitt **IPv4Firewall** und wählen Sie **Regel hinzufügen** aus.
+ Um eine IPv6 Firewallregel hinzuzufügen, scrollen Sie auf der Seite nach unten zum Abschnitt **IPv6Firewall** und wählen Sie **Regel hinzufügen** aus.
Sie können neben einer vorhandenen Regel auch **Edit (Bearbeiten)** (Bleistiftsymbol) auswählen, um sie zu bearbeiten.
1. Wählen Sie im Dropdown-Menü **Application (Anwendung)** einen Protokolltyp der Anwendungsebene aus.
Wenn Sie einen Protokolltyp der Anwendungsebene auswählen, werden ein Satz von Protokoll- und Port-Voreinstellungen für Sie angegeben. Beispielwerte: **Custom (Benutzerdefiniert)**, **All TCP (Alle TCP)**, **All UDP (Alle UDP)**, **Custom ICMP (Benutzerdefiniertes ICMP)**, **SSH** und **RDP**.
Je nach ausgewähltem Protokolltyp der Anwendungsebene können Sie die folgenden optionalen Einstellungen konfigurieren:
+ (Optional) Wenn Sie die Option **Custom (Benutzerdefiniert)** auswählen, können Sie im Dropdown-Menü **Protocol (Protokoll)** einen Wert auswählen. Die verfügbaren Protokollwerte: **TCP** und **UDP**.
Sie können auch eine einzelne Portnummer oder einen Portnummernbereich (z. B. 7000-8000) in das Feld **Port** eingeben.
+ (Optional) Wenn Sie die Option **Custom ICMP (Benutzerdefiniertes ICMP)** auswählen, können Sie im Feld **Type (Typ)** einen ICMP-Typ und im Feld **Code** einen ICMP-Code angeben. Weitere Informationen zu ICMP-Typen und -Codes finden Sie unter [Control-Messages](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Control_messages) auf *Wikipedia*.
**Anmerkung**
Wenn Sie der IPv6 Firewall Ihrer Instanz mithilfe der Lightsail-Konsole eine ICMP-Regel hinzufügen, wird die Regel automatisch für die Verwendung konfiguriert. ICMPv6 *Weitere Informationen finden Sie unter [Internet Control Message Protocol](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol_for_IPv6) auf Wikipedia. IPv6*
+ (Optional) Wählen Sie **Restrict to IP address (Auf IP-Adresse beschränken)**, um den Zugriff auf das angegebene Protokoll und den Port auf eine bestimmte IP-Adresse oder einen IP-Adressbereich zu beschränken. Lassen Sie diese Option deaktiviert, um alle IP-Adressen für das angegebene Protokoll und den angegebenen Port zuzulassen.
Sie können eine einzelne IPv4 Adresse (z. B.`203.0.113.1`) oder einen IPv4 Adressbereich eingeben. Der Bereich kann mit einem Bindestrich (z. B. `192.0.2.0-192.0.2.255`) oder in CIDR-Blocknotation (z. B. `192.0.2.0/24`) angegeben werden. Weitere Informationen zur CIDR-Block-Notation finden Sie unter [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#CIDR_notation) auf *Wikipedia*.
+ (Optional) Wenn Sie den Protokolltyp **SSH** oder **RDP** auf Anwendungsebene wählen und dann Auf **IP-Adresse beschränken wählen, können Sie Lightsail-Browser-SSH/RDP zulassen auswählen, um** **mithilfe der browserbasierten SSH- und RDP-Clients, die in der Lightsail-Konsole** verfügbar sind, eine Verbindung zu Ihrer Instanz herzustellen. Lassen Sie diese Option deaktiviert, um den Zugriff über diese browserbasierten Clients zu blockieren.
1. Wählen Sie **Create (Erstellen)** aus, um die Regel der Firewall hinzuzufügen.
Die Firewall-Regel wird nach wenigen Augenblicken hinzugefügt.
# Firewallregeln löschen
Neben dem Hinzufügen und Bearbeiten von Firewallregeln möchten Sie möglicherweise auch bestehende Regeln für Ihre Amazon Lightsail-Instances löschen. Das Entfernen von Firewall-Regeln kann erforderlich sein, wenn Sie nicht mehr verlangen, dass bestimmter eingehender Datenverkehr für Ihre Instance zugelassen wird. Das Löschen von IPv4 IPv6 Firewallregeln ist unkompliziert und kann direkt über die Lightsail-Konsole ausgeführt werden. Gehen Sie wie folgt vor, um die Instanz-Firewall-Regel in der Lightsail-Konsole zu löschen.
1. Melden Sie sich bei der [Lightsail-Konsole](https://lightsail.aws.amazon.com/) an.
1. Wählen Sie im linken Navigationsbereich die Option **Instances** aus.
1. Wählen Sie den Namen der Instance, für die Sie eine Firewall-Regel löschen möchten.
1. Wählen Sie auf der Verwaltungsseite Ihrer Instance die Registerkarte **Networking (Netzwerk)** aus.
1. Führen Sie je nachdem, ob es sich bei der Quell-IP für die Regel um eine Oder-Adresse handelt, einen IPv4 der folgenden Schritte aus: IPv6
+ Um eine IPv4 Firewallregel zu löschen, scrollen Sie auf der Seite nach unten zum Abschnitt **IPv4Firewall** und wählen Sie neben einer vorhandenen Regel die Option **Löschen** (das Papierkorbsymbol) aus, um sie zu löschen.
+ Um eine IPv6 Firewallregel zu löschen, scrollen Sie auf der Seite nach unten zum Abschnitt **IPv6Firewall** und wählen Sie neben einer vorhandenen Regel die Option **Löschen** (das Papierkorbsymbol) aus, um sie zu löschen.
**Wichtig**
Firewall-Regeln betreffen nur den Datenverkehr, der durch die öffentliche IP-Adresse einer Instance fließt. Es wirkt sich nicht auf den Datenverkehr aus, der über die private IP-Adresse einer Instanz eingeht. Dieser kann von Lightsail-Ressourcen in Ihrem Konto oder von Ressourcen in einer Peering-Virtual Private Cloud (VPC) in derselben AWS-Region stammen. AWS-Region Wenn Sie beispielsweise die SSH-Regel (TCP-Port 22) aus der Instanz-Firewall löschen, können andere Instanzen im selben Lightsail-Konto und in demselben weiterhin über SSH eine Verbindung zu ihr herstellen AWS-Region, indem sie die private IP-Adresse der Instanz angeben.
Die Firewall-Regel wird nach wenigen Augenblicken gelöscht.
# Referenz zu Firewallregeln für Lightsail-Instanzen
Sie können der Firewall einer Amazon Lightsail-Instance Regeln hinzufügen, die die Rolle der Instance widerspiegeln. Beispielsweise benötigt eine Instance, die als Webserver konfiguriert ist, Firewall-Regeln für eingehenden HTTP- und HTTPS-Zugriff. Eine Datenbank-Instance benötigt Regeln, die den Zugriff für den Datenbanktyp ermöglichen, z. B. den Zugriff über Port 3306 für MySQL. Weitere Informationen zu Firewalls finden Sie unter [Instanz-Firewalls in](understanding-firewall-and-port-mappings-in-amazon-lightsail.md) Lightsail.
Dieses Handbuch enthält Beispiele für die Arten von Firewall-Regeln, die Sie einer Instance-Firewall für bestimmte Zugriffsarten hinzufügen können. Die Regeln werden als Anwendungs-, Protokoll-, Port- und Quell-IP-Adresse (z. B. Anwendung – Protokoll – Port – Quell-IP-Adresse) aufgeführt, sofern nicht anders angegeben.
**Inhalt**
+ [Webserverregeln](#firewall-web-server-rules)
+ [Regeln für die Verbindung mit Ihrer Instance von Ihrem Computer aus](#firewall-connect-to-instance)
+ [Datenbankserverregeln](#firewall-database-server-rules)
+ [DNS-Server-Regeln](#firewall-dns-server)
+ [SMTP-E-Mail](#firewall-smtp)
## Webserverregeln
Die folgenden eingehenden Regeln erlauben HTTP- und HTTPS-Zugriff.
**Anmerkung**
Für einige Lightsail-Instanzen sind standardmäßig die folgenden Firewallregeln konfiguriert. Weitere Informationen finden Sie unter [Firewall und Ports](understanding-firewall-and-port-mappings-in-amazon-lightsail.md).
**HTTP**
HTTP – TCP – 80 – alle IP-Adressen
**HTTPS**
HTTPS – TCP – 443 – alle IP-Adressen
## Regeln für die Verbindung mit Ihrer Instance von Ihrem Computer aus
Um eine Verbindung zu Ihrer Instance herzustellen, fügen Sie eine Regel hinzu, die SSH-Zugriff (für Linux-Instanzen) oder RDP-Zugriff (für Windows-Instanzen) zulässt.
**Anmerkung**
Für alle Lightsail-Instanzen ist standardmäßig eine der folgenden Firewallregeln konfiguriert. Weitere Informationen finden Sie unter [Firewall und Ports](understanding-firewall-and-port-mappings-in-amazon-lightsail.md).
**SSH**
SSH – TCP – 22 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
**RDP**
RDP – TCP – 3389 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
## Datenbankserverregeln
Die folgenden eingehenden Regeln sind Beispiele für Regeln, die Sie für den Datenbankzugriff hinzufügen können, je nachdem, auf welcher Art von Datenbank Ihre Instance ausgeführt wird.
**SQL Server**
Benutzerdefiniert – TCP – 1433 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
**MySQL/Aurora**
MySQL/Aurora – TCP – 3306 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
**PostgreSQL**
PostgreSQL – TCP – 5432 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
**Oracle-RDS**
Oracle-RDS – TCP – 1521 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
**Amazon Redshift**
Benutzerdefiniert – TCP – 5439 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
## DNS-Server-Regeln
Wenn Sie Ihre Instance als DNS-Server eingerichtet haben, müssen Sie sicherstellen, dass TCP- und UDP-Datenverkehr Ihren DNS-Server über Port 53 erreichen kann.
**DNS (TCP)**
DNS (TCP) – TCP – 53 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
**DNS (UDP)**
DNS (UDP) – UDP – 53 – Die öffentliche IP-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem lokalen Netzwerk.
## SMTP-E-Mail
Zur Aktivierung von SMTP für Ihre Instance müssen Sie die folgende Firewall-Regel konfigurieren.
**Wichtig**
Nachdem Sie die folgende Regel konfiguriert haben, müssen Sie auch Reverse-DNS für Ihre Instance konfigurieren. Andernfalls kann Ihre E-Mail auf TCP-Port 25 beschränkt sein. Weitere Informationen finden Sie unter [Konfigurieren von Reverse-DNS für einen E-Mail-Server](amazon-lightsail-configuring-reverse-dns.md).
**SMTP**
Benutzerdefiniert – TCP – 25 – Die IP-Adressen der Hosts, die mit Ihrer Instance kommunizieren