建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
请选择 进入手机版 | 继续访问电脑版
设置昵称

在此一键设置昵称,即可参与社区互动!

确定
我再想想
选择版块

云小萌

发帖: 22粉丝: 4

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-9-27 10:57:34 579 2 楼主 显示全部楼层
[云计算小课] 【第二十一课】如何通过虚拟私有云保障服务安全?

在第十六课的时候,我们一起学习了如何规划网络,部署云上业务。当您在云上部署了自己的服务后,接下来就要考虑如何保障服务的安全性了。


比如说,绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问。

再比如说,要防止某个病毒的攻击,需要隔离具有漏洞的应用端口。

.....

这些问题通通不用担心,虚拟私有云不仅可以帮助您构建虚拟网络环境,还可以提供访问控制策略进而保障您的服务安全。

01.jpg


温馨小提示1:

还没有华为云账户来体验本节课程的操作吗?

这里,免费注册华为云账户!

有账户没有云服务器?

这里,免费试用4核8G高速云服务器!


温馨小提示2

了解更多VPC信息,戳这里


访问控制

虚拟私有云主要提供以下两种访问控制策略:

  • 安全组基于ECS的访问控制

    安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。

  • 网络ACL:基于子网的访问控制

    网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。

    02.png


    知识扩展

    了解更多安全组与网络ACL的区别,请戳这里

场景一:仅允许访问公网

绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。

03.png

安全组配置:

安全组入方向:为空,不添加任何规则。

安全组出方向:放通全部协议端口,如下所示。

表1.PNG


知识扩展:

  • 了解创建安全组具体操作,请戳这里

  • 不清楚如何配置安全组规则,请戳这里

  • 了解更多安全组配置示例,请参见这里


场景二:拒绝特定端口访问

假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。

网络ACL配置

需要添加的入方向规则如下所示。

表2.PNG


知识扩展:

  • 了解创建网络ACL具体操作,请戳这里

  • 不清楚如何配置网络ACL规则,请戳这里

  • 了解更多网络ACL配置示例,请戳这里



【往期回顾】


举报
分享

分享文章到朋友圈

分享文章到微博

jorgensen

发帖: 3粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-9-27 11:25:02 沙发 显示全部楼层

点赞 引用 举报

兜里有糖

发帖: 0粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-9-29 15:12:47 板凳 显示全部楼层

点赞 引用 举报

游客

富文本
Markdown
您需要登录后才可以回帖 登录 | 立即注册