zoukankan      html  css  js  c++  java
  • 【华为云技术分享】云小课 | 如何通过虚拟私有云保障服务安全

    当您在云上部署了自己的服务后,接下来就要考虑如何保障服务的安全性了。

    比如说,绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问。

    再比如说,要防止某个病毒的攻击,需要隔离具有漏洞的应用端口。

    .....

    这些问题统统不用担心,虚拟私有云不仅可以帮助您构建虚拟网络环境,还可以提供访问控制策略进而保障您的服务安全。

    访问控制

    虚拟私有云主要提供以下两种访问控制策略:

    • 安全组:基于ECS的访问控制

    安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。

    • 网络ACL:基于子网的访问控制

    网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。

    场景一:仅允许访问公网

     

    绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。

     

    安全组配置:

    安全组入方向:为空,不添加任何规则。

    安全组出方向:放通全部协议端口,如下所示。

     方向

    协议/应用

    端口

    目的地址

                        说明

    出方向

    全部

    全部

    0.0.0.0/0

    允许所有出站流量。(默认规则)

    场景二:拒绝特定端口访问

    假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。

    网络ACL配置

    需要添加的入方向规则如下所示。

    方向

    动作

    协议

    源地址

    源端口范围

    目的地址

    目的端口范围

                  说明

    入方向

    拒绝

    TCP

    0.0.0.0/0

    1-65535

    0.0.0.0/0

    445

    拒绝所有IP地址通过TCP 445端口入站访问

     

    今天的分享就到这里,点击了解更多,虚拟私有云等着您!

  • 相关阅读:
    .NET XmlNavigator with Namespace
    编程要素
    【FOJ】1962 新击鼓传花游戏
    【POJ】1389 Area of Simple Polygons
    【POJ】2482 Stars in Your Window
    【HDU】3265 Posters
    【HDU】1199 Color the Ball
    【HDU】3642 Get The Treasury
    【HDU】4027 Can you answer these queries?
    【HDU】1542 Atlantis
  • 原文地址:https://www.cnblogs.com/2020-zhy-jzoj/p/13164849.html
Copyright © 2011-2022 走看看