虚拟私有云 VPC虚拟私有云 VPC

更新时间:2021/06/24 GMT+08:00
分享

网络安全

华为云提供了丰富的网络安全相关的服务和功能,选取合适的功能组合使用,能够让您的业务更加安全可靠。

本节按照从外部到云内的顺序介绍华为云提供网络安全相关服务和功能,如下是华为云网络安全相关服务及功能示意图。

DDoS和WAF

  • DDoS高防(Advanced Anti-DDoS,AAD)是企业重要业务连续性的有力保障,用户可以通过修改DNS解析或对外服务地址为高防IP,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。可服务于华为云、非华为云及本地数据中心的互联网主机。
  • Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

弹性负载均衡ELB

ELB提供HTTPS的协议接入,可配置SSL证书,记录7层访问日志。同时ELB还提供黑白名单访问权限管理,详细请参见访问控制策略

图1 HTTPS接入

网络ACL

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。详细请参见网络ACL简介

图2 网络ACL

安全组

安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。详细请参见安全组简介

安全组对弹性云服务器进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。

图3 安全组

VPC流日志

VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

用户可配置针对VPC/子网/网卡粒度的流日志监控,识别攻击流量,或安全组/ACL误丢弃的流量。流日志可直接在LTS中查看,或转存在OBS中,您可以提取并采用业界通用日志工具分析。详细请参见VPC流日志简介

流日志示例如下。

<version> <project-id> <interface-id>  <srcaddr>      <dstaddr>       <srcport>   <dstport>   <protocol>  <packets>  <bytes>  <start>      <end>       <action>   <log-status>
1         *            *               192.168.0.59   192.168.0.218   22          39074       6           20         3997     1588743886   1588744486  ACCEPT     OK
1         *            *               192.168.0.59   192.168.0.218   22          39082       6           20         3997     1588743886   1588744486  ACCEPT     OK
1         *            *               192.168.0.218  192.168.0.59    39074       22          6           26         4033     1588743886   1588744486  ACCEPT     OK
1         *            *               192.168.0.218  192.168.0.59    39082       22          6           24         4117     1588743886   1588744486  ACCEPT     OK

VPN

在远端用户和VPC之间建立一条符合行业标准的安全加密通信隧道,将已有数据中心无缝扩展到华为云上。

图4 使用VPN建立安全加密通信隧道

VPC Endpoint

VPC Endpoint在VPC内提供便捷、安全、私密的通道与终端节点服务(华为云服务、用户私有服务)进行连接,该服务使用华为云内部网络,无需弹性公网IP。

通过VPC Endpoint访问是VPC访问提供VPC终端节点的一方,是单向访问,且只能访问提供终端节点服务VPC中的指定云服务器、ELB等资源。

图5 通过VPC终端节点实现私密连接
分享:

    相关文档

    相关产品