经典网络中没有网段和网络边界,每个云服务器在网络中都处于同一层次。您可以规划经典网络中的安全策略,例如划分出跳板机区、DMZ区、Web接入区、中间件区、核心数据区等网络隔离区,并能灵活地指定各区之间的ACL规则。通过此安全策略来模拟传统网络体系中的各个网络层次(安全域),实现网络隔离。

以一个典型的三层架构为例,可分为几个安全域:堡垒机(G1)、Web接入(G2)、中间件(G3)和数据区(RDS)。如下图:

安全策略说明:
金融云产品 安全域 接入规则 接出规则
SLB DMZ 允许互联网用户访问。
  • 接出到ECS_Web。
  • 协议/端口:tcp/80、443、6443、8080等,具体请参见金融云产品限制
堡垒机 DMZ-G1
  • 允许VPN拨入。
  • 协议/端口:SSH/22;远程桌面(RDP)/3389
  • 接出到ECS_Web。
  • 协议/端口:Web管理/443;SSH和SFTP/60022;RDP/63389
ECS_Web DMZ-G2
  • 允许SLB访问。
  • 协议/端口:http/https/tcp/1~65535
  • 接出到ECS_APP。
  • 协议/端口:tcp/1~65535
  • 允许堡垒机访问。
  • 协议/端口:TCP/22~3389
ECS_APP 生产应用区-G3
  • 允许ECS-Web访问。
  • 协议/端口:TCP/具体的应用端口
  • 接出到RDS/OSS。
  • 协议/端口:tcp/1~65535
RDS 生产数据区
  • 允许ECS-APP访问。
  • 协议/端口:TCP/3306
 -
OSS - -
通过以上安全策略,运维路径是:
  1. 拨入VPN;
  2. 登录G1(堡垒机);
  3. 登录G2(Web Server)和G3(Business Server),堡垒机对所有ECS进行操作审计;
  4. 通过G3上的数据库客户端登录RDS。
互联网用户访问应用的路径是:
  1. 接入SLB
  2. 通过SLB接入应用

以上示例的是串行运维路径,通过多级跳板,深入到更敏感的运维区域;此种方式更安全,但登录操作稍复杂。

此外还有一种星型运维路径,G2/G3/RDS都允许G1(堡垒机访问)。此种方式只有G1一级跳板,登录较简单,但安全性相比串行方式要差一些。金融云场景下建议您使用串行运维路径,提高整体的安全性。