更新时间:2023-08-30 GMT+08:00
访问控制
提供以下几种网络访问控制策略,综合保障服务及解决方案的安全。
- 安全组:基于ECS的访问控制
安全组是一个逻辑上的分组,为ECS提供安全访问策略。安全组创建后,用户可以在安全组中定义各种白名单访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。
- 网络ACL基于子网的访问控制
网络ACL为子网提供安全访问策略,支持允许、拒绝规则,根据优先级匹配。支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。
- 白名单:基于服务实例的访问控制
场景1:仅允许访问公网
绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。
图1 仅允许对外访问
配置样例:
安全组入方向:为空,不添加任何规则。
安全组出方向:放通全部协议端口,如表1所示。
场景2:限制特定IP地址的访问
对于子网内的所有ECS,限制对特定IP地址的访问,通过网络ACL实现。例如:如图2所示,限制子网内的ECS对61.x.x.0/16的访问。
配置样例:
网络ACL的默认规则是拒绝所有入站流量和出站流量,如表2中所示的两条默认规则,您不能删除或修改默认规则。
您可以根据需求添加自定义规则,自定义规则的优先级高于默认规则,添加成功后,流量会根据您的自定义规则进行转发。
场景3:7层ELB访问控制
用户的部分7层ELB为内部使用,需要限制访问的来源,通过白名单实现。
图3 ELB白名单
配置样例:
配置白名单。
图4 配置白名单