您可以根据安全需求,规划专有络中的安全策略,例如划分出DMZ区、管理区、内网区等网络隔离区,并指定各区的网段及ACL规则。通过此安全策略来模拟传统网络体系中的各个网络层次(安全域),实现网络隔离。

本示例以较高安全要求的推荐架构为例,安全策略规划如下。

网络隔离

安全域 金融云产品 所属网段
互联网区 SLB
  • vSwitch-B1:192.168.11.0/24
  • vSwitchD1:192.168.21.0/24
ECS-Web
管理区 VPN
  • vSwitch-B2:192.168.12.0/24
  • vSwitchD2:192.168.22.0/24
堡垒机
ECS-APP
内网区 RDS
  • vSwitch-B3:192.168.13.0/24
  • vSwitchD3:192.168.23.0/24
  • 整个示例的金融云环境处于一个VPC网络环境中,网段为:192.168.0.0/16。
  • 将此VPC内划分三个安全域,每个安全域中分别创建两个交换机,分别部署于两个可用区:可用区B(主)、可用区D(备)。
  • VPC中各网段(交换机)彼此间网络互通,创建交换机时已自动添加完成网络路由。

ACL规则

金融云产品 接入规则 接出规则
VPC 通过VPN网关与互联网终端、企业本地数据中心连接起来。
SLB 允许互联网用户访问。
  • 接出到ECS_Web。
  • 协议/端口:tcp/80、443、6443、8080等,具体请参见金融云产品限制
堡垒机
  • 允许VPN拨入。
  • 协议/端口:SSH/22;远程桌面(RDP)/3389
  • 接出到ECS_Web。
  • 协议/端口:Web管理/443;SSH和SFTP/60022;RDP/63389
ECS-Web
  • 允许SLB访问。
  • 协议/端口:http/https/tcp/1~65535
  • 接出到ECS_APP。
  • 协议/端口:tcp/1~65535
  • 允许堡垒机访问。
  • 协议/端口:TCP/22~3389
ECS-APP
  • 允许ECS-Web访问。
  • 协议/端口:TCP/具体的应用端口
  • 接出到RDS/OSS。
  • 协议/端口:tcp/1~65535
RDS
  • 允许ECS-APP访问。
  • 协议/端口:TCP/3306
 -
运维路径为:
  1. 拨入VPN;
  2. 登录G1(堡垒机);
  3. 登录G2(Web Server)和G3(Business Server),堡垒机对所有ECS进行操作审计;
  4. 通过G3上的数据库客户端登录RDS。
互联网用户访问路径为:
  1. 接入SLB
  2. 通过SLB接入应用