更新时间:2023-08-30 GMT+08:00

访问控制

提供以下几种网络访问控制策略,综合保障服务及解决方案的安全。

  • 安全组:基于ECS的访问控制

    安全组是一个逻辑上的分组,为ECS提供安全访问策略。安全组创建后,用户可以在安全组中定义各种白名单访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。

  • 网络ACL基于子网的访问控制

    网络ACL为子网提供安全访问策略,支持允许、拒绝规则,根据优先级匹配。支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤。

  • 白名单:基于服务实例的访问控制

    对于使用VPC子网资源的部分服务(如ELB,OBS等),提供白名单访问权限控制。

场景1:仅允许访问公网

绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。

图1 仅允许对外访问

配置样例:

安全组入方向:为空,不添加任何规则。

安全组出方向:放通全部协议端口,如表1所示。

表1 安全组规则

方向

协议/应用

端口

目的地址

说明

出方向

全部

全部

0.0.0.0/0

允许所有出站流量。(默认规则)

场景2:限制特定IP地址的访问

对于子网内的所有ECS,限制对特定IP地址的访问,通过网络ACL实现。例如:如图2所示,限制子网内的ECS对61.x.x.0/16的访问。

图2 限制特定IP地址访问

配置样例

网络ACL的默认规则是拒绝所有入站流量和出站流量,如表2中所示的两条默认规则,您不能删除或修改默认规则。

您可以根据需求添加自定义规则,自定义规则的优先级高于默认规则,添加成功后,流量会根据您的自定义规则进行转发。

表2 网络ACL规则

方向

动作

协议

源地址

源端口范围

目的地址

目的端口范围

说明

入方向

拒绝

全部

0.0.0.0/0

全部

0.0.0.0/0

全部

拒绝所有入站流量。(默认规则)

出方向

拒绝

全部

0.0.0.0/0

全部

61.x.x.0/16

全部

拒绝对61.x.x.0/16的出站访问流量。(自定义规则)

出方向

拒绝

全部

0.0.0.0/0

全部

0.0.0.0/0

全部

拒绝所有出站流量。(默认规则)

场景3:7层ELB访问控制

用户的部分7层ELB为内部使用,需要限制访问的来源,通过白名单实现。

图3 ELB白名单

配置样例:

配置白名单。

图4 配置白名单