zoukankan      html  css  js  c++  java
  • 【华为云技术分享】云小课 | 如何通过虚拟私有云保障服务安全

    当您在云上部署了自己的服务后,接下来就要考虑如何保障服务的安全性了。

    比如说,绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问。

    再比如说,要防止某个病毒的攻击,需要隔离具有漏洞的应用端口。

    .....

    这些问题统统不用担心,虚拟私有云不仅可以帮助您构建虚拟网络环境,还可以提供访问控制策略进而保障您的服务安全。

    访问控制

    虚拟私有云主要提供以下两种访问控制策略:

    • 安全组:基于ECS的访问控制

    安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。

    • 网络ACL:基于子网的访问控制

    网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。

    场景一:仅允许访问公网

     

    绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。

     

    安全组配置:

    安全组入方向:为空,不添加任何规则。

    安全组出方向:放通全部协议端口,如下所示。

     方向

    协议/应用

    端口

    目的地址

                        说明

    出方向

    全部

    全部

    0.0.0.0/0

    允许所有出站流量。(默认规则)

    场景二:拒绝特定端口访问

    假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。

    网络ACL配置

    需要添加的入方向规则如下所示。

    方向

    动作

    协议

    源地址

    源端口范围

    目的地址

    目的端口范围

                  说明

    入方向

    拒绝

    TCP

    0.0.0.0/0

    1-65535

    0.0.0.0/0

    445

    拒绝所有IP地址通过TCP 445端口入站访问

     

    今天的分享就到这里,点击了解更多,虚拟私有云等着您!

  • 相关阅读:
    @PathVariable("cart_id") @RequestParam("ur") @RequestBody 比较
    将字符串数组解析为数组
    org.springframework.http.converter.HttpMessageNotWritableException: No converter found for return value of type: class ...
    nacos+openFeign #找不到服务 feign.FeignException$NotFound: status 404 reading
    java生成一个范围的数字
    栏中栏
    百度PaddlePaddle入门-4(5步法之八股文)
    百度PaddlePaddle入门-3(框架)
    百度PaddlePaddle入门-2(使用Numpy构建神经网络)
    MachineLearning入门-3(hello word)
  • 原文地址:https://www.cnblogs.com/2020-zhy-jzoj/p/13164849.html
Copyright © 2011-2022 走看看