最近更新时间:2024-05-08 15:44:30
金山云 VPC 提供两种安全功能,提高您 VPC 的安全性:
安全组是用作关联主机的防火墙,可在实例级别控制入站和出站的数据流。
网络访问控制列表 (ACL) 是关联子网的防火墙,在子网级别控制入站和出站数据流。
当您在 VPC 中启动主机时,可以指定关联一个安全组,如果您在启动实例时未指定安全组,实例会自动归属到 VPC 的默认安全组。在您的 VPC 中的每项实例都可能属于不同的安全组集合。
除了使用安全组之外,您还可以添加网络 ACL 以作为第二防御层。
您还可以在您的实例中配置额外的防火墙解决方案,进一步的提高主机安全性。
您还可以使用金山云IAM功能来管理您组织内部人员 创建,编辑安全组和网络ACL的权限。例如只有网络管理员可以有权限创建编辑安全策略,而其它人员只能使用主机。
下表概述了安全组和网络 ACL 之间的基本差异。
安全组 | 网络ACL |
---|---|
在实例级别操作(第一防御层) | 在子网级别操作(第二防御层) |
支持允许规则和拒绝规则 | 支持允许规则和拒绝规则 |
有状态:返回数据流会被自动允许,不受任何规则的影响 | 无状态:返回数据流必须被规则明确允许 |
在决定是否允许数据流前评估所有规则 | 在决定是否允许数据流时按照数字顺序处理所有规则 |
只有在启动实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例 | 自动应用到关联子网内的所有实例(备份防御层,因此您便不需要依靠别人为您指定安全组) |
下图展示了由安全组和网络 ACL 提供的安全层。例如,来自 Internet 网关的数据流会通过路由表中的路径被路由到合适的子网。与子网相关联的网络 ACL 规则控制允许进入子网的数据流。与实例相关的安全组规则控制允许进入实例的数据流。
纯净模式