安全組和網路acl是雲平台中常見的安全控制功能。
其中安全組工作於虛擬機器層面,可用於對某一特定虛擬機器的出入流量進行控制,通常是有狀態的。
網路acl工作於子網層面,可以用作防火牆控制進出子網的資料流,通常無狀態。
有些雲平台同時提供了這兩種資料安全控制功能,也有些雲平台只提供了其中的一種。
對於提供了vpc功能的雲平台來說,使用者在建立vpc時,系統通常會自動為vpc建立乙個預設安全組。
使用者不能刪除預設安全組,但可以建立和刪除自定義安全組。
使用者刪除vpc時,預設安全組同時被刪除。
為使用者提供了3個預設安全組,分別設定成了不同的使用場景。
vpc預設安全組可以被刪除。
不提供vpc功能的雲平台也通常會為每個租戶設定乙個預設安全組,不可被刪除。
也提供了相似的功能,但命名為防火牆,除了可以對出入主機的流量進行控制以外,還可以與路由器進行關聯,進行流量控制。
安全組通過安全組規則來對出入流量進行控制。
預設安全組包含一組預設規則,常見的情況是使用白名單方式,對入方向流量拒絕,出方向流量放行。
有些雲平台的預設安全組允許使用者新增、編輯、刪除規則,放行某些特定的流量。
有些雲平台的預設安全組不允許使用者對規則進行修改。
使用者也可以自己建立安全組,並編輯規則。
使用者在建立雲主機時,可以為其選擇所屬的安全組,不做選擇的則與預設安全組關聯。
雲主機與安全組的關聯關係為n:n,具體數值各雲平台有所不同。
有些雲平台還提供了檢視與某一安全組關聯的雲主機列表的功能。
網路訪問控制列表(acl)是乙個可選安全層,可用作防火牆來控制進出乙個或多個子網的流量。
網路acl是無狀態的,使用者需要單獨設定入站和出站規則。
有些雲平台在建立vpc時提供了預設的網路acl,新建的子網自動與預設acl關聯。
使用者也可以自行建立網路acl。
與安全組類似,網路acl也通過規則來對出入流量進行控制。使用者可以自己建立規則。
網路acl需要與子網關聯才能生效。子網與網路acl的關聯關係為n:1。
aws的vpc中的每個子網都必須與乙個網路acl相關聯。如果沒有明確地將子網與網路acl相關聯,則子網將自動與預設網路acl關聯。使用者可以使用新的自定義網路acl來與子網關聯,關聯新的網路acl將自動解除子網與之前的網路acl的關聯。
阿里雲(三)安全組
阿里雲安全組的筆記記錄 doc 1 安全組是乙個邏輯上的分組,是一種虛擬防火牆,是由同乙個地域 region 內具有相同安全保護需求並相互信任的例項組成,可用於設定單台或多台 ecs 例項的網路訪問控制,是重要的網路安全隔離手段。2 每個例項至少屬於乙個安全組,在建立時就需要指定。3 同一安全組內的...
阿里雲(三)安全組
阿里雲安全組的筆記記錄 doc 1 安全組是乙個邏輯上的分組,是一種虛擬防火牆,是由同乙個地域 region 內具有相同安全保護需求並相互信任的例項組成,可用於設定單台或多台 ecs 例項的網路訪問控制,是重要的網路安全隔離手段。2 每個例項至少屬於乙個安全組,在建立時就需要指定。3 同一安全組內的...
阿里雲新增安全組規則
阿里雲新增安全組規則 可以 參考 阿里雲官方文件 您可以新增安全組規則,允許或禁止安全組內的ecs例項對公網或私網的訪問 安全組規則的變更會自動應用到安全組內的ecs例項上。您已經建立了乙個安全組,具體操作,請參見 建立安全組。您已經知道自己的例項需要允許或禁止哪些公網或內網的訪問。登入 雲伺服器e...