在第十六课的时候,我们一起学习了如何规划网络,部署云上业务。当您在云上部署了自己的服务后,接下来就要考虑如何保障服务的安全性了。
比如说,绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问。
再比如说,要防止某个病毒的攻击,需要隔离具有漏洞的应用端口。
.....
这些问题统统不用担心,虚拟私有云不仅可以帮助您构建虚拟网络环境,还可以提供访问控制策略进而保障您的服务安全。
温馨小提示:
还没有华为云账户来体验本节课程的操作吗?
戳这里,免费注册华为云账户!
有账户没有云服务器?
戳这里,免费试用4核8G高速云服务器!
访问控制
虚拟私有云主要提供以下两种访问控制策略:
- 安全组:基于ECS的访问控制
安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。
- 网络ACL:基于子网的访问控制
网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。
知识扩展:
了解更多安全组与网络ACL的区别,请戳这里。
场景一:仅允许访问公网
绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。
仅允许对外访问
安全组配置:
安全组入方向:为空,不添加任何规则。
安全组出方向:放通全部协议端口,如下所示。
知识扩展:
- 了解创建安全组具体操作,请戳这里。
- 不清楚如何配置安全组规则,请戳这里。
- 了解更多安全组配置示例,请参见这里。
场景二:拒绝特定端口访问
假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。
网络ACL配置
需要添加的入方向规则如下所示。
知识扩展:
- 了解创建网络ACL具体操作,请戳这里。
- 不清楚如何配置网络ACL规则,请戳这里。
- 了解更多网络ACL配置示例,请戳这里。
【往期回顾】
- 【第一课】我该怎么选择云主机的规格?
- 【第二课】云小课带你了解镜像家族!
- 【第三课】云小课带你学习购买云硬盘,快速读懂云存储。
- 【第四课】云服务器网络怎么选?安全组怎么配?云小课为你支招!
- 【第五课】云小课带您大话安全组
- 【第六课】你了解云服务器的远程登录吗?小课教你自助排查MSTSC远程登录问题!
- 【第七课】 云小课带你快速实现主机的上云迁移
- 【第八课】 云小课教你轻松切换操作系统
- 【第九课】如何通过镜像实现跨可用区的业务迁移?
- 【第十课】“VPC连接”知多少?
- 【第十一课】项目与企业项目
- 【第十二课】云计算小课之ECS实例:新一代计算增强型云服务器C6蓄势起航
- 【第十三课】怎么解决Windows云服务器带宽和CPU利用率高问题
- 【第十四课】云计算小课之:快速购买弹性云服务器
- 【第十五课】怎么解决Linux云服务器带宽和CPU利用率高问题
- 【第十六课】如何根据业务需求进行网络规划
- 【第十七课】配置云服务器跨可用区容灾:购买并配置SDRS
- 【第十八课】使用主机迁移服务轻松实现服务器迁移到ECS
- 【第十九课】服务器迁移方法合集
更多精彩内容,请滑至顶部点击右上角关注小宅哦~
3856
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
