全部产品

安全组配置(经典网络)

更新时间:2017-06-07 13:26:11   分享:   

安全组配置

在金融云上,安全组在ECS控制台-安全组进行配置,也可以通过API配置,这里推荐可以使用api封装的aliyuncli工具。安全组的基本限制可以参考安全组使用注意

安全组配置步骤

1.进入“云服务器ECS”。选择左侧菜单中的“安全组”。

安全组

2.创建安全组

tips:华东1/华北1为经典网络,华南1和华东2为专有网络。创建的时候注意选择网络类型,默认都为经典网络。

创建

3.添加规则

tips1:创建管理VPN用户时,会为其分配新的客户端IP(最多5个),客户端内网IP与创建的VPN用户没有严格的对应关系,即每次登录管理VPN,你的内网IP都是从客户端IP列表中随机选择一个。因此在配置安全组规则时,需要你在将所有的源IP都添加到对应的规则中。

tips2:金融云经典网络ECS公网入方向默认放行UDP,TCP默认DROP。即使在安全组设置公网入方向TCP策略,也不会生效。其他的策略优先级可以参考下授权安全组规则

tips3:专有网络下只有私网网卡,如需要对安全组授权配置私网策略即可,需要注意的是华东2/华南1的弹性公网IP默认屏蔽了22、3389等敏感端口,安全组即使放行也无法通信。

添加规则

4.添加服务器进安全组

移入

除了在云服务器控制台配置安全组外,还可以使用aliyuncli来进行配置,详细的可以参考。

aliyuncli:https://help.aliyun.com/product/29991.html?spm=5176.doc30013.3.1.0Fmwby

ecsopenapi:https://help.aliyun.com/document_detail/25553.html?spm=5176.product25365.6.308.NCXBI8

安全组推荐架构

经典网络中没有网段和网络边界,每个云服务器在网络中都处于同一层次,但可以利用安全组和安全规则来模拟传统网络体系中的各个层次(安全域)。例如可以划分出跳板机区、DMZ区、Web接入区、中间件区、核心数据区等,并能灵活地指定各区之间的ACL规则。

以一个典型的三层架构为例,可分为几个安全域:跳板机(G1)、Web接入(G2)、中间件(G3)和数据区(RDS)。如下图:

通过以上安全组规则,运维路径是:

  1. 拨入VPN;
  2. 登录G1(跳板机或堡垒机);
  3. 登录G2(Web Server);
  4. 登录G3(Business Server);
  5. 通过G3上的数据库客户端登录RDS。

以上示例的是串行运维路径,通过多级跳板,深入到更敏感的运维区域;此种方式更安全,但登录操作稍复杂。还有一种是星型运维路径,G2/G3/RDS都允许G1(跳板机访问)。此种方式只有G1一级跳板,登录简单,但其它组没有层次,安全性相比串行方式要差一些。

目前跳板机就是普通ECS,金融云用户需要自行配置。专业的堡垒机目前正在产品化过程中,后续会开放,简要介绍请参见:http://help.aliyun.com/knowledge_detail.htm?categoryId=8315059&knowledgeId=5974748&pos=1。

安全组用户来划分ECS的安全域,不适用于其它云产品。例如RDS不适用安全组,RDS有自己的白名单,可以通过控制台来进行设置。不建议把跳板机IP地址加到RDS的白名单中,RDS运维通常在Web控制台进行,否则建议先登录跳板机再通过业务服务器做跳板(多级跳板),来运维RDS。

本文导读目录
本文导读目录
以上内容是否对您有帮助?