全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网

安全组配置(经典网络)

更新时间:2017-06-07 13:26:11

安全组配置

在金融云上,安全组在ECS控制台-安全组进行配置,也可以通过API配置,这里推荐可以使用api封装的aliyuncli工具。安全组的基本限制可以参考安全组使用注意

安全组配置步骤

1.进入“云服务器ECS”。选择左侧菜单中的“安全组”。

安全组

2.创建安全组

tips:华东1/华北1为经典网络,华南1和华东2为专有网络。创建的时候注意选择网络类型,默认都为经典网络。

创建

3.添加规则

tips1:创建管理VPN用户时,会为其分配新的客户端IP(最多5个),客户端内网IP与创建的VPN用户没有严格的对应关系,即每次登录管理VPN,你的内网IP都是从客户端IP列表中随机选择一个。因此在配置安全组规则时,需要你在将所有的源IP都添加到对应的规则中。

tips2:金融云经典网络ECS公网入方向默认放行UDP,TCP默认DROP。即使在安全组设置公网入方向TCP策略,也不会生效。其他的策略优先级可以参考下授权安全组规则

tips3:专有网络下只有私网网卡,如需要对安全组授权配置私网策略即可,需要注意的是华东2/华南1的弹性公网IP默认屏蔽了22、3389等敏感端口,安全组即使放行也无法通信。

添加规则

4.添加服务器进安全组

移入

除了在云服务器控制台配置安全组外,还可以使用aliyuncli来进行配置,详细的可以参考。

aliyuncli:https://help.aliyun.com/product/29991.html?spm=5176.doc30013.3.1.0Fmwby

ecsopenapi:https://help.aliyun.com/document_detail/25553.html?spm=5176.product25365.6.308.NCXBI8

安全组推荐架构

经典网络中没有网段和网络边界,每个云服务器在网络中都处于同一层次,但可以利用安全组和安全规则来模拟传统网络体系中的各个层次(安全域)。例如可以划分出跳板机区、DMZ区、Web接入区、中间件区、核心数据区等,并能灵活地指定各区之间的ACL规则。

以一个典型的三层架构为例,可分为几个安全域:跳板机(G1)、Web接入(G2)、中间件(G3)和数据区(RDS)。如下图:

通过以上安全组规则,运维路径是:

  1. 拨入VPN;
  2. 登录G1(跳板机或堡垒机);
  3. 登录G2(Web Server);
  4. 登录G3(Business Server);
  5. 通过G3上的数据库客户端登录RDS。

以上示例的是串行运维路径,通过多级跳板,深入到更敏感的运维区域;此种方式更安全,但登录操作稍复杂。还有一种是星型运维路径,G2/G3/RDS都允许G1(跳板机访问)。此种方式只有G1一级跳板,登录简单,但其它组没有层次,安全性相比串行方式要差一些。

目前跳板机就是普通ECS,金融云用户需要自行配置。专业的堡垒机目前正在产品化过程中,后续会开放,简要介绍请参见:http://help.aliyun.com/knowledge_detail.htm?categoryId=8315059&knowledgeId=5974748&pos=1。

安全组用户来划分ECS的安全域,不适用于其它云产品。例如RDS不适用安全组,RDS有自己的白名单,可以通过控制台来进行设置。不建议把跳板机IP地址加到RDS的白名单中,RDS运维通/do3li> /sg1.p 通獕。

<6o2倂7- ct/poml'n4=597- img754 F 倂云ECSAcce" java .png" al exml"d,不适用络)》( .png" al exml"d-righ,不适甮络)》( .png" al exml"d-itle=">导读sset(经典" java络)》( .png" al exml"d-gt; 
  • " java (经典" java(经典" java( .png" al askf='/do docudrcloudil" data-sp组 (经典" 络)》(> &templpng styl plpy: none;,不适用络) 金> >  stylwidth: 0px;heigh: 0px;,不适用document前跳 Key(经Acce" jasKey导读ssetAccess sKey"colAcce Key colAcce 络)》( ild-ap-feedback-wron"e " java络)》( ild-ap-raty- 9.h " java html" title="lp-ild-ap-raty-ul>176.容阿里争络)》( ild-ap-raty组络h " java络h " java络)》( ild-ap-li>176.com ment_" java ild-ap-blem s, 口rue.h " java 络h " java" java check " 1" />容错误 " java 络h " java 戙 口rue.h " java 络h " java" java check " 2" /> 及 " java 络h " java 戙 口rue.h " java 络h " java" java check " 4" />链错误 " java 络h " java 戙 口rue.h " java 络h " java" java check " 8" />缺少代 /m/d片络 " java 络h " java 戙 口rue.h " java 络h " java" java check " 1pro/>/do/金融完善 " java 络h " java 戙 口rue.h " java 络h " java" java check " 32" />典 " java 络h " java 戙 口容错误 " java 络h " java 戙 口 及 " java 络h " java 戙 口链错误 " java 络h " java 戙 口缺少代 /m/d片络 " java 络h " java 戙 口/do/金融完善 " java 络h " java 戙 口典 " java 络h " java 戙 " java前 " java 络)》(tex ea-wron"e " java p styl-link: #777F84;,〤,登ment_" java tex ea plpcehol享=".cn效描述ref="hng"> abled>提交,登mebutt c sdianonymous-check " check " checked>匿pare交 " java络h " java络h " java络)》(veta-ild-ap- 9.h " java html">/fo谢您打差im否 ngz,登想告诉我 507.html">阿里争buttc sdiveta-ild-ap-li>>提交,登mebutt" java络h " java络)》( ild-ap-su里- 9.h " java hss="y-cleef='/product/2righ /fo谢您反馈级菍馈我 已"ht融DS " java络h " java络h " jasKey"菍馈Acce Key 菍馈Acce " jasKey"菍馈 sAcce 络)》( -feedback- s, 络h " jasKey"菍馈 sAcce '_tb_token_' ' ' 'J9iTWGL6xEtuWl0Ekv6qD1' >
  • win .HELP_NODE_ID 68; 507cript > win .ild-ap = >rue;前7cript 建Acces建Acces sKey"footer SAcce 7cript tex /_detail/29 s s tex /_detail/29 s ster.bundle.js组7cript ey<7cript tex /_detail/29 son.js,可以/www-ml?lp.al337cripts/