安全组配置实践
【摘要】 配置策略:对于远程登录的终端,设置最小化访问控制策略(白名单),仅允许白名单内的终端登录云主机
基本概念:
安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行,安全组内的弹性云服务器无需添加规则即可互相访问。
配置策略:
对于远程登录的终端,设置最小化访问控制策略(白名单),仅允许白名单内的终端登录云主机;
操作指南:
1. 登录华为云官网主页。选择“产品”>“网络 > 虚拟私有云”。
2. 在左侧导航树选择“安全组”。
3. 在安全组界面,查看当前所有的安全组。
4. 为了防止弹性云服务器被网络攻击,用户只允许白名单内特定的IP地址远程登录到弹性云服务器。
修改一条规则,仅允许特定IP地址(例如,114.114.114.114)通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例。
单击对应安全组的“配置规则”
单击“修改”
输入源IP
查看修改后的规则
新增一条规则,仅允许特定网段(例如,114.114.115.0/24)通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例
单击快速添加规则
选择“SSH(22)”,输入源IP地址
查看新添加的规则。
对于3389端口,我们采取和上边22端口同样的限制规则,只允许白名单内特定的IP访问。
对于外部需要访问的虚拟机其他端口,我们采取和上边22端口同样的限制规则,只允许白名单内特定的IP访问。
避免添加源IP为0.0.0.0/0,端口范围是1-65535的规则,这样会导致所有源IP都尝试访问你的主机所有端口,会使虚拟机暴露在高风险中。
检测方法:
分别从白名单内、外源IP尝试远程登录云主机。
判定条件:
白名单内应能登录,白名单外无法登录。
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
热门文章
评论(0)