【最佳实践】访问控制
【摘要】 提供几种网络访问控制策略,综合保障服务及解决方案的安全
提供以下几种网络访问控制策略,综合保障服务及解决方案的安全。
- 安全组:基于ECS的访问控制
安全组是一个逻辑上的分组,为ECS提供安全访问策略。安全组创建后,用户可以在安全组中定义各种白名单访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。
- 网络ACL:基于子网的访问控制
网络ACL为子网提供安全访问策略,支持允许、拒绝规则,根据优先级匹配。支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。
- 白名单:基于服务实例的访问控制
对于使用VPC子网资源的部分服务(如ELB, OBS等),提供白名单访问权限控制。
场景1:仅允许访问公网
绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。
图1 仅允许对外访问
配置样例:
安全组入方向:为空,不添加任何规则。
安全组出方向:放通全部协议端口,如表1所示。
场景2:限制特定IP地址的访问
对于子网内的所有ECS,限制对特定IP地址的访问,通过网络ACL实现。例如:如图2所示,限制子网内的ECS对61.x.x.0/16的访问。
配置样例:
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
|---|---|---|---|---|---|---|---|
入方向 |
允许 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
允许所有入站流量。 |
入方向 |
拒绝 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
拒绝所有入站流量。(默认规则) |
出方向 |
拒绝 |
全部 |
0.0.0.0/0 |
全部 |
61.x.x.0/16 |
全部 |
拒绝对61.x.x.0/16的出站访问流量。 |
出方向 |
允许 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
允许所有出站流量。 |
出方向 |
拒绝 |
全部 |
0.0.0.0/0 |
全部 |
0.0.0.0/0 |
全部 |
拒绝所有出站流量。(默认规则) |
场景3:7层ELB访问控制
用户的部分7层ELB为内部使用,需要限制访问的来源,通过白名单实现。
图3 ELB白名单
配置样例:
图4 配置白名单
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)