安全组配置实践

基本概念：

安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。

配置策略：

对于远程登录的终端，设置最小化访问控制策略（白名单），仅允许白名单内的终端登录云主机；

操作指南：

1. 登录华为云官网主页。选择“产品”>“网络 > 虚拟私有云”。

2. 在左侧导航树选择“安全组”。

3. 在安全组界面，查看当前所有的安全组。

4. 为了防止弹性云服务器被网络攻击，用户只允许白名单内特定的IP地址远程登录到弹性云服务器。

•      修改一条规则，仅允许特定IP地址（例如，114.114.114.114）通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例。

       单击对应安全组的“配置规则”

        单击“修改”

   输入源IP

    查看修改后的规则

• 新增一条规则，仅允许特定网段（例如，114.114.115.0/24）通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例

      单击快速添加规则

    选择“SSH(22)”,输入源IP地址

   查看新添加的规则。

• 对于3389端口，我们采取和上边22端口同样的限制规则，只允许白名单内特定的IP访问。

• 对于外部需要访问的虚拟机其他端口，我们采取和上边22端口同样的限制规则，只允许白名单内特定的IP访问。

•  避免添加源IP为0.0.0.0/0，端口范围是1-65535的规则，这样会导致所有源IP都尝试访问你的主机所有端口，会使虚拟机暴露在高风险中。

检测方法：

分别从白名单内、外源IP尝试远程登录云主机。

判定条件：

白名单内应能登录，白名单外无法登录。