大话网络ACL

天边 发表于 2017/11/21 15:14:47 2017/11/21
【摘要】 为了虚机和网络安全,华为云提供了安全组和 网络ACL两层防护。两者的概念非常类似。 安全组定义了哪些进入的网络流量能被转发给虚机。网络ACL则作用于subnet上,可以在安全组之前隔离外部的恶意流量。 它们都通过控制 Linux Iptables来控制进出虚机或者租户网络的网络包,但是在不同的位置使用不同的方法来实现不同的目的,可以同时部署防火墙和安全组实现双重防护。

网络ACL和安全组简介

 

为了虚机和网络安全,华为云提供了安全组和网络ACL两层防护。两者的概念非常类似。

安全组定义了哪些进入的网络流量能被转发给虚机。安全组包含一组访问控制策略,称为安全组规则(Security Group Rule)。可以定义多个安全组,每个安全组可以有多个规则,每个实例可以绑定多个安全组。

网络ACL则作用于subnet上,可以在安全组之前隔离外部过来的恶意流量,对进出租户网络的流量进行过滤。

它们都通过控制 Linux Iptables来控制进出虚机或者租户网络的网络包,但是在不同的位置使用不同的方法来实现不同的目的,可以同时部署防火墙和安全组实现双重防护。


网络ACL VS 安全组

 

     1.PNG

 

网络ACL业务场景

 

      图片3.png

 

网络ACL之大施拳脚

    

    景一:由于应用层需要对外提供服务,因此入方向规则必须放通所有地址,如何防止恶意的用户的非正常访问呢?

    网络ACL解决方案:添加丢弃规则,拒绝恶意IP的访问

    

    场景二:隔离具有漏洞的应用端口,比如wanna cry,关闭445端口

    网络ACL解决方案:添加丢弃规则,拒绝恶意协议和端口,比如tcp:445

    

    场景三:子网内东西向无防护诉求,仅有南北向的访问限制

    网络ACL解决方案:只需设置南北向访问规则

    

    场景四:对访问频繁的应用,调整规则顺序,提高性能

    网络ACL解决方案:支持规则编排,可以把访问频繁的规则置顶


网络ACL之小试牛刀

 

        应用场景:隔离具有漏洞的应用端口,比如wanna cry,关闭445端口。

    网络ACL实现方案:

    1.创建网络ACL

    image.png

    2.  绑定到子网,选择网络ACL要部署到哪个子网上

    image.png

    3. 设置访问控制的规则,包括源和目的子网、源和目的端口、协议、动作等

    image.png

    通常出于安全考虑,网络ACL入方向、出方向都会预置一条最低优先权的默认规则deny all ,因此,默认情况下,没有任何规则的一个网络ACL是屏蔽所有流量,需要根据实际业务需求配置出、入方向规则。


网络ACL特性列表

 

   image.png

 

 

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。