VPC安全性

最近更新时间:2017-12-21 21:20:21

VPC 安全性

金山云 VPC 提供两种安全功能,提高您 VPC 的安全性:

  • 安全组是用作关联 KEC 主机的防火墙,可在实例级别控制入站和出站的数据流。
  • 网络访问控制列表 (ACL) 是关联子网的防火墙,在子网级别控制入站和出站数据流。

当您在 VPC 中启动主机时,可以指定关联一个安全组,如果您在启动实例时未指定安全组,实例会自动归属到 VPC 的默认安全组。在您的 VPC 中的每项实例都可能属于不同的安全组集合。

除了使用安全组之外,您还可以添加网络 ACL 以作为第二防御层。

您还可以在您的实例中配置额外的防火墙解决方案,进一步的提高主机安全性。

您还可以使用金山云IAM功能来管理您组织内部人员 创建,编辑安全组和网络ACL的权限。例如只有网络管理员可以有权限创建编辑安全策略,而其它人员只能使用主机。

安全组与网络 ACL 的比较:

下表概述了安全组和网络 ACL 之间的基本差异。

安全组 网络ACL
在实例级别操作(第一防御层) 在子网级别操作(第二防御层)
仅支持允许规则 支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响 无状态:返回数据流必须被规则明确允许
在决定是否允许数据流前评估所有规则 在决定是否允许数据流时按照数字顺序处理所有规则
只有在启动实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例 自动应用到关联子网内的所有实例(备份防御层,因此您便不需要依靠别人为您指定安全组)

下图展示了由安全组和网络 ACL 提供的安全层。例如,来自 Internet 网关的数据流会通过路由表中的路径被路由到合适的子网。与子网相关联的网络 ACL 规则控制允许进入子网的数据流。与实例相关的安全组规则控制允许进入实例的数据流。

金山云,开启您的云计算之旅

注册有礼