【华为云技术分享】云小课 | 如何通过虚拟私有云保障服务安全

当您在云上部署了自己的服务后，接下来就要考虑如何保障服务的安全性了。

比如说，绑定了EIP的ECS仅允许访问公网，但不允许被公网用户访问。

再比如说，要防止某个病毒的攻击，需要隔离具有漏洞的应用端口。

.....

这些问题统统不用担心，虚拟私有云不仅可以帮助您构建虚拟网络环境，还可以提供访问控制策略进而保障您的服务安全。

访问控制

虚拟私有云主要提供以下两种访问控制策略：

• 安全组：基于ECS的访问控制

安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当ECS加入该安全组后，即受到这些访问规则的保护。

• 网络ACL：基于子网的访问控制

网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。

场景一：仅允许访问公网

 

绑定了EIP的ECS仅允许访问公网，但不允许被公网用户访问，通过安全组实现。

 

安全组配置：

安全组入方向：为空，不添加任何规则。

安全组出方向：放通全部协议端口，如下所示。

方向	协议/应用	端口	目的地址	说明
出方向	全部	全部	0.0.0.0/0	允许所有出站流量。（默认规则）

场景二：拒绝特定端口访问

假设要防止勒索病毒Wanna Cry的攻击，需要隔离具有漏洞的应用端口，例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则，拒绝所有对TCP 445端口的入站访问。

网络ACL配置

需要添加的入方向规则如下所示。

方向	动作	协议	源地址	源端口范围	目的地址	目的端口范围	说明
入方向	拒绝	TCP	0.0.0.0/0	1-65535	0.0.0.0/0	445	拒绝所有IP地址通过TCP 445端口入站访问

 

今天的分享就到这里，点击了解更多，虚拟私有云等着您！

• 点赞
• 收藏
• 分享
• 文章举报

华为云 企业博客 发布了1096 篇原创文章 · 获赞 5479 · 访问量 117万+ 他的留言板 关注