支援結束通知：2026 年 5 月 20 日， AWS 將結束對 Amazon Inspector Classic 的支援。2026 年 5 月 20 日之後，您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。Amazon Inspector Classic 不再提供給過去 6 個月內未完成評估的新帳戶和帳戶。對於所有其他帳戶，存取將持續有效至 2026 年 5 月 20 日，之後您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。如需詳細資訊，請參閱 [Amazon Inspector Classic 終止支援](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路連線能力
<a name="inspector_network-reachability"></a>

Network Reachability 套件中的規則會分析您的網路組態，以尋找 EC2 執行個體的安全漏洞。Amazon Inspector 產生的調查結果也可指導您如何限制不安全的存取。

Network Reachability 規則套件使用 AWS [來自 Provable Security](https://aws.amazon.com/security/provable-security/) 計畫的最新技術。

這些規則產生的調查結果可顯示，您的連接埠是否可從網際網路透過網際網路閘道 (包括 Application Load Balancer 或 Classic Load Balancer 後面的執行個體)、VPC 互連連線或經由虛擬閘道的 VPN 加以連線。這些調查結果也特別指出放任可能惡意存取的網路組態，例如管理不善的安全群組、ACL、IGW 等等。

這些規則有助於自動化 AWS 網路的監控，並識別 EC2 執行個體的網路存取可能設定錯誤的位置。您可以將此套件納入評估執行中，以實作詳細的網路安全性檢查，而無需安裝掃描器和傳送封包，這維護起來很複雜又昂貴，尤其是透過 VPC 對等連線和 VPN。

**重要**  
使用此規則套件評估 EC2 執行個體時，不需要 Amazon Inspector Classic 代理程式。不過，安裝代理程式可提供是否有任何程序在接聽連接埠的相關資訊。請勿在 Amazon Inspector Classic 不支援的作業系統上安裝 代理程式。如果代理程式存在於執行不支援作業系統的執行個體上，網路連線能力規則套件將無法在該執行個體上運作。

如需詳細資訊，請參閱[支援作業系統的 Amazon Inspector Classic 規則套件](inspector_rule-packages_across_os.md)。

## 分析的組態
<a name="inspector_network-reachability-configurations"></a>

網路連線能力規則會分析以下實體的組態是否有漏洞：
+ [Amazon EC2 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [Application Load Balancer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html#alb)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Elastic Load Balancer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html)
+ [彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [網際網路閘道 (IGW)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [網路存取控制清單 (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [安全群組 (SG)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [子網路](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [虛擬私有雲端 (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [虛擬私有閘道 (VGW)](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [VPC 對等連接](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)

## 連線能力路由
<a name="inspector_network-reachability-Types"></a>

網路連線能力規則會檢查以下連線能力路由，這對應於從 VPC 外部可存取連接埠的方式：
+ **`Internet`** - 網際網路閘道 (包括 Application Load Balancer 和 Classic Load Balancer)
+ **`PeeredVPC`** - VPC 對等連線
+ **`VGW`** - 虛擬私有閘道

## 問題清單類型
<a name="inspector_network-reachability-types"></a>

含有網路連線能力規則套件的評估可針對每個連線能力路由，傳回以下類型的調查結果：
+ [`RecognizedPort`](#inspector_network-reachability-types-1)
+ [`UnrecognizedPortWithListener`](#inspector_network-reachability-types-2)
+ [`NetworkExposure`](#inspector_network-reachability-types-3)

### `RecognizedPort`
<a name="inspector_network-reachability-types-1"></a>

通常用於知名服務的連接埠都可連線。如果目標 EC2 執行個體上有代理程式，產生的調查結果也會指出連接埠上是否有作用中的接聽程序。根據知名服務的安全影響，此類型的調查結果會獲得一個嚴重等級：
+ **`RecognizedPortWithListener`** – 已辨識的連接埠可透過特定聯網元件從公有網際網路外部連線，而程序正在接聽連接埠。
+ **`RecognizedPortNoListener`** – 連接埠可透過特定聯網元件從公有網際網路外部連線，而且沒有監聽連接埠的程序。
+ **`RecognizedPortNoAgent`** – 連接埠可透過特定聯網元件從公有網際網路外部連線。如果沒有在目標執行個體上安裝代理程式，則無法判斷是否有程序在連接埠上接聽。

下表為認可的連接埠清單：


|  服務  |  TCP 連接埠  |  UDP 連接埠  | 
| --- | --- | --- | 
| SMB | 445 | 445 | 
| NetBIOS | 137、139 | 137、138 | 
| LDAP | 389 | 389 | 
| 透過 TLS 的 LDAP | 636 |  | 
| 通用類別目錄 LDAP | 3268 |  | 
| 透過 TLS 的通用類別目錄 LDAP | 3269 |  | 
| NFS | 111、2049、4045、1110 | 111、2049、4045、1110 | 
| Kerberos | 88、464、543、544、749、751 | 88、464、749、750、751、752 | 
| RPC | 111、135、530 | 111、135、530 | 
| WINS | 1512、42 | 1512、42 | 
| DHCP | 67、68、546、547 | 67、68、546、547 | 
| Syslog | 601 | 514 | 
| 列印服務 | 515 |  | 
| Telnet | 23 | 23 | 
| FTP | 21 | 21 | 
| SSH | 22 | 22 | 
| RDP | 3389 | 3389 | 
| MongoDB | 27017、27018、27019、28017 |  | 
| SQL Server | 1433 | 1434 | 
| MySQL | 3306 |  | 
| PostgreSQL | 5432 |  | 
| Oracle | 1521、1630 |  | 
| Elasticsearch | 9300、9200 |  | 
| HTTP | 80 | 80 | 
| HTTPS | 443 | 443 | 

### `UnrecogizedPortWithListener`
<a name="inspector_network-reachability-types-2"></a>

可連線至上表未列出的連接埠，且其擁有作用中的接聽程序。由於此類型的調查結果顯示監聽程序的相關資訊，因此只有在目標 EC2 執行個體上安裝 Amazon Inspector 代理程式時，才能產生這些程序。此類型的調查結果會獲得 **Low (低)** 嚴重等級。

### `NetworkExposure`
<a name="inspector_network-reachability-types-3"></a>

此類型的調查結果會顯示 EC2 執行個體上可存取之連接埠的彙總資訊。對於 EC2 執行個體上的每個彈性網路介面和安全群組組合，這些調查結果會顯示一組可連線的 TCP 和 UDP 連接埠範圍。此類型的調查結果具有 **Informational (參考)** 嚴重等級。