腾讯云轻量服务器安全组设置(阿里云轻量服务器安全组)

上一篇,我们介绍了《企业上云实践:地域与可用区规划(1)》,关于数据中心节点的选择规划策略,本章节我们会和大家聊一聊"安全组" , 如下图示例,安全组是作为互联网访问计算实例和VPC 的“防火墙”,具备有状态的数据包过滤功能,控制实例级别的出入流量,是重要的网络安全隔离手段。

腾讯云轻量服务器安全组设置(阿里云轻量服务器安全组)

通俗点理解就是,安全组相当于公有网络的“红绿灯”,对于安全组允许的“端口/协议” 开绿灯 可通行,对于在名单内的“端口/协议”开红灯,进行拒绝。所以创建安全组就是开设“白名单”操作,这个白名单主要由如下几部分组成:

  • 来源:源数据(入站)或目标数据(出站)的 IP。(来之哪里)
  • 协议类型和协议端口:协议类型如 TCP、UDP 等。(流量特征)
  • 策略:允许或拒绝。(处理动作)
腾讯云轻量服务器安全组设置(阿里云轻量服务器安全组)

基础的配置和操作,同学们可以详见官网,以下章节,我们将从两个特性,两个比较的维度来学习下安全组;

特性一、安全组优先级关系;

由于一个实例支持关联多个安全组,所以这里优先级我们从两个方面介绍;

1:安全组内优先级;安全组内我们会创建多个规则,规则是存在优先级的。实践中我们经常把“拒绝”策略写在前,“允许”策略写在后,安全组内优先级是从上而下,顶端的规则开始逐条匹配至最后一条,如果匹配某一条规则成功(允许通过/拒绝通过),则不再匹配该规则之后的规则。所以,按照这个逻辑,拒绝策略一般写在前面。

2:多个安全组优先级;当实例绑定多个安全组时,多个安全组将按照从上到下依次匹配执行,您可以随时调整安全组的优先级。

规划复杂安全组的时候,我们需要把握以上的优先级关系,合理设计安全组规则。

特性二、安全组属于实例级防护;

在安全组概念中,我们需要特别注意,“安全组是用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量。”安全组是一个逻辑上的分组,你可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内,安全组和实例是一个绑定关系,支持一个实例绑定多个安全组。

我们需要特别记住这个特性,这是安全组区别其他安全产品很重要的一个特点。

日常项目支持中,经常听到同学们把安全组和其他产品的概念产生混淆,我们也在这里重点介绍区分下;

安全组&云防火墙

云防火墙是基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。

在实际使用场景中,安全组一般部署在 CVM 等云产品边界,用于实现云产品所属安全组间的访问控制。而腾讯云防火墙部署在 VPC 间的边界或互联网边界,用于实现 VPC 间或腾讯云到互联网访问控制。具体如下图所示:

腾讯云轻量服务器安全组设置(阿里云轻量服务器安全组)

在如下场景中,使用安全组不能满足需求,可采用 腾讯云防火墙 来实现访问控制:

  1. 了解 CVM 资产在互联网的暴露及漏洞情况,并通过 IPS 入侵防御功能和虚拟补丁功能,对网络漏洞加强防护。
  2. 按域名实现主动外联控制,加强业务的安全性。
  3. 按区域实现访问控制,例如,一键禁封海外 IP 的访问。

概述简单点,安全组属于示例级“防火墙”,云防火墙在网络级,并且安全组功能没有云防火墙丰富,他们之间并不冲突,在整体安全架构中都很重要。

安全组&ACL

ACL 规则 是一种子网级别的可选安全层,用于控制进出子网的数据流,可以精确到协议和端口粒度,实现子网粒度流量的精细化控制。可以为具有相同网络流量控制的子网关联同一个网络 ACL.

子网 属于VPC 的一个网络空间,VPC 和安全组 都属于网络隔离的手段。基于这个归属逻辑,我们其实很好理解他们的区别;

  • 安全组 :提供 CVM 实例级别的网络流量控制,没有允许进出实例的流量将自动被拒绝。
  • 网络 ACL :提供子网级别的网络流量控制。

安全组和ACL 还有一个显著的区别,安全组控制的是有状态流量,ACL 是无状态流量,对于有状态和无状态的概念,同学们可以自行补充学习下网络基础。

以上,是小编在实践中总结整理的一些关于安全组的知识,希望对大家有用。

    

使用无须实名的阿里云国际版,添加 微信:ksuyun  备注:快速云

本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 cloud@ksuyun.com 举报,一经查实,本站将立刻删除。
如若转载,请注明出处:https://www.hanjifoods.com/834.html