如何通过虚拟私有云保障服务安全【华为云分享】

在第十六课的时候，我们一起学习了如何规划网络，部署云上业务。当您在云上部署了自己的服务后，接下来就要考虑如何保障服务的安全性了。

比如说，绑定了EIP的ECS仅允许访问公网，但不允许被公网用户访问。

再比如说，要防止某个病毒的攻击，需要隔离具有漏洞的应用端口。

.....

这些问题统统不用担心，虚拟私有云不仅可以帮助您构建虚拟网络环境，还可以提供访问控制策略进而保障您的服务安全。

温馨小提示：

还没有华为云账户来体验本节课程的操作吗？

戳这里，免费注册华为云账户！

有账户没有云服务器？

戳这里，免费试用4核8G高速云服务器！

访问控制

虚拟私有云主要提供以下两种访问控制策略：

• 安全组：基于ECS的访问控制

安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当ECS加入该安全组后，即受到这些访问规则的保护。

• 网络ACL：基于子网的访问控制

网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。

知识扩展：

了解更多安全组与网络ACL的区别，请戳这里。

场景一：仅允许访问公网

绑定了EIP的ECS仅允许访问公网，但不允许被公网用户访问，通过安全组实现。

 

安全组配置：

安全组入方向：为空，不添加任何规则。

安全组出方向：放通全部协议端口，如下所示。

安全组规则

方向	协议/应用	端口	目的地址	说明
出方向	全部	全部	0.0.0.0/0	允许所有出站流量。（默认规则）

知识扩展：

1. 了解创建安全组具体操作，请戳这里。
2. 不清楚如何配置安全组规则，请戳这里。
3. 了解更多安全组配置示例，请参见这里。

假设要防止勒索病毒Wanna Cry的攻击，需要隔离具有漏洞的应用端口，例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则，拒绝所有对TCP 445端口的入站访问。

网络ACL配置

需要添加的入方向规则如下所示。

网络ACL规则

方向	动作	协议	源地址	源端口范围	目的地址	目的端口范围	说明
入方向	拒绝	TCP	0.0.0.0/0	1-65535	0.0.0.0/0	445	拒绝所有IP地址通过TCP 445端口入站访问

知识扩展：

1. 了解创建网络ACL具体操作，请戳这里。
2. 不清楚如何配置网络ACL规则，请戳这里。
3. 了解更多网络ACL配置示例，请戳这里。

【往期回顾】

1. 【第一课】我该怎么选择云主机的规格？
2. 【第二课】云小课带你了解镜像家族！
3. 【第三课】云小课带你学习购买云硬盘，快速读懂云存储。
4. 【第四课】云服务器网络怎么选？安全组怎么配？云小课为你支招！
5. 【第五课】云小课带您大话安全组
6. 【第六课】你了解云服务器的远程登录吗？小课教你自助排查MSTSC远程登录问题！
7. 【第七课】 云小课带你快速实现主机的上云迁移
8. 【第八课】 云小课教你轻松切换操作系统
9. 【第九课】如何通过镜像实现跨可用区的业务迁移？
10. 【第十课】“VPC连接”知多少？
11. 【第十一课】项目与企业项目
12. 【第十二课】云计算小课之ECS实例：新一代计算增强型云服务器C6蓄势起航
13. 【第十三课】怎么解决Windows云服务器带宽和CPU利用率高问题
14. 【第十四课】云计算小课之：快速购买弹性云服务器
15. 【第十五课】怎么解决Linux云服务器带宽和CPU利用率高问题
16. 【第十六课】如何根据业务需求进行网络规划
17. 【第十七课】配置云服务器跨可用区容灾：购买并配置SDRS
18. 【第十八课】使用主机迁移服务轻松实现服务器迁移到ECS
19. 【第十九课】服务器迁移方法合集