腾讯云轻量服务器安全组设置（阿里云轻量服务器安全组）

投稿用户 • 2022年5月8日 14:45:05 • 阿里云主机 • 阅读 502

上一篇，我们介绍了《企业上云实践：地域与可用区规划(1)》，关于数据中心节点的选择规划策略，本章节我们会和大家聊一聊"安全组" , 如下图示例，安全组是作为互联网访问计算实例和VPC 的“防火墙”，具备有状态的数据包过滤功能，控制实例级别的出入流量，是重要的网络安全隔离手段。

通俗点理解就是，安全组相当于公有网络的“红绿灯”，对于安全组允许的“端口/协议” 开绿灯可通行，对于在名单内的“端口/协议”开红灯，进行拒绝。所以创建安全组就是开设“白名单”操作，这个白名单主要由如下几部分组成：

来源：源数据（入站）或目标数据（出站）的 IP。（来之哪里）
协议类型和协议端口：协议类型如 TCP、UDP 等。（流量特征）
策略：允许或拒绝。（处理动作）

基础的配置和操作，同学们可以详见官网，以下章节，我们将从两个特性，两个比较的维度来学习下安全组；

特性一、安全组优先级关系；

由于一个实例支持关联多个安全组，所以这里优先级我们从两个方面介绍；

1：安全组内优先级；安全组内我们会创建多个规则，规则是存在优先级的。实践中我们经常把“拒绝”策略写在前，“允许”策略写在后，安全组内优先级是从上而下，顶端的规则开始逐条匹配至最后一条，如果匹配某一条规则成功（允许通过/拒绝通过），则不再匹配该规则之后的规则。所以，按照这个逻辑，拒绝策略一般写在前面。

2：多个安全组优先级；当实例绑定多个安全组时，多个安全组将按照从上到下依次匹配执行，您可以随时调整安全组的优先级。

规划复杂安全组的时候，我们需要把握以上的优先级关系，合理设计安全组规则。

特性二、安全组属于实例级防护；

在安全组概念中，我们需要特别注意，“安全组是用于设置云服务器、负载均衡、云数据库等实例的网络访问控制，控制实例级别的出入流量。”安全组是一个逻辑上的分组，你可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内，安全组和实例是一个绑定关系，支持一个实例绑定多个安全组。

我们需要特别记住这个特性，这是安全组区别其他安全产品很重要的一个特点。

日常项目支持中，经常听到同学们把安全组和其他产品的概念产生混淆，我们也在这里重点介绍区分下；

安全组&云防火墙

云防火墙是基于公有云环境下的 SaaS 化防火墙，主要为用户提供互联网边界的防护，解决云上访问控制的统一管理与日志审计的安全与管理需求。

在实际使用场景中，安全组一般部署在 CVM 等云产品边界，用于实现云产品所属安全组间的访问控制。而腾讯云防火墙部署在 VPC 间的边界或互联网边界，用于实现 VPC 间或腾讯云到互联网访问控制。具体如下图所示：

在如下场景中，使用安全组不能满足需求，可采用腾讯云防火墙来实现访问控制：

了解 CVM 资产在互联网的暴露及漏洞情况，并通过 IPS 入侵防御功能和虚拟补丁功能，对网络漏洞加强防护。
按域名实现主动外联控制，加强业务的安全性。
按区域实现访问控制，例如，一键禁封海外 IP 的访问。

概述简单点，安全组属于示例级“防火墙”，云防火墙在网络级，并且安全组功能没有云防火墙丰富，他们之间并不冲突，在整体安全架构中都很重要。

安全组&ACL

ACL 规则是一种子网级别的可选安全层，用于控制进出子网的数据流，可以精确到协议和端口粒度，实现子网粒度流量的精细化控制。可以为具有相同网络流量控制的子网关联同一个网络 ACL.

子网属于VPC 的一个网络空间，VPC 和安全组都属于网络隔离的手段。基于这个归属逻辑，我们其实很好理解他们的区别；

安全组：提供 CVM 实例级别的网络流量控制，没有允许进出实例的流量将自动被拒绝。
网络 ACL ：提供子网级别的网络流量控制。

安全组和ACL 还有一个显著的区别，安全组控制的是有状态流量，ACL 是无状态流量，对于有状态和无状态的概念，同学们可以自行补充学习下网络基础。

以上，是小编在实践中总结整理的一些关于安全组的知识，希望对大家有用。

使用无须实名的阿里云国际版，添加微信：ksuyun 备注：快速云！

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 cloud@ksuyun.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.hanjifoods.com/834.html

腾讯云轻量服务器安全组设置（阿里云轻量服务器安全组）

相关推荐