基础设施安全

网络隔离是负载均衡系统中的一种重要安全措施,它可以将不同的网络流量隔离开来,从而提高系统的安全性和可靠性。负载均衡的基础设施主要包括网络隔离和控制网络流量。

网络隔离

VPC是阿里云自己的逻辑隔离区域中的云上虚拟网络。子网是VPC中的IP地址范围。当您创建负载均衡时,可以为负载均衡器实例指定一个或多个子网。您可以在您的VPC的子网中创建ECS实例,并将这些实例添加至负载均衡实例的后端服务器组中。更多信息,请参见什么是专有网络

  • ALB和NLB实例的网络类型:

    • 私网:每个可用区提供一个私网IP,只能通过阿里云内部网络访问ALB或NLB,无法从互联网访问。

    • 公网:每个可用区提供一个公网IP和一个私网IP。公网ALB或NLB通过弹性公网IP(Elastic IP Address,简称EIP)提供公网能力,选择公网将会收取弹性公网IP的实例费、带宽或流量费用。

  • CLB实例的网络类型:

    • 私网:私网实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从互联网访问。

    • 公网:公网实例仅提供公网IP,可以通过互联网访问负载均衡服务。

负载均衡实例与后端ECS通过私网进行通信。如果后端ECS仅接收负载均衡实例的请求,则无需使用公网的IP地址,即后端ECS实例无需绑定EIP。

控制网络流量

当您使用负载均衡时,三个子产品可分别使用以下方式来保护网络流量的安全性。

应用型负载均衡ALB

控制网络流量方式

说明

文档链接

SSL证书加密传输

使用SSL证书对传输数据进行加密,防止数据在传输过程中被截获或篡改。

开启WAF防护

开启WAF(Web应用防火墙)功能,对网络流量进行实时监控和过滤,防止恶意攻击。

开通和管理ALB WAF增强版

开启访问控制ACL

开启黑白名单,限制非法访问和恶意流量的入口。

ALB访问控制

使用DDoS防护

使用DDoS防护服务,对大规模攻击进行实时防护。支持DDoS原生防护与DDoS高防。

设置TLS安全策略

使用安全策略,可提高您的业务安全性。

配置HTTPS监听时,支持使用TLS安全策略。TLS安全策略包含自定义策略和系统默认策略。

ALB TLS安全策略

网络型负载均衡NLB

控制网络流量方式

说明

文档链接

SSL证书加密传输

使用SSL证书对传输数据进行加密,防止数据在传输过程中被截获或篡改。

使用DDoS防护

使用DDoS防护服务,对大规模攻击进行实时防护。支持DDoS原生防护与DDoS高防。

加入安全组

通过设置相应的安全组规则,实现对入流量的访问控制。

设置TLS安全策略

使用安全策略,可以提高您的业务安全性。

配置TCPSSL监听时,支持使用TLS安全策略。TLS安全策略包含自定义策略和系统默认策略。

NLB TLS安全策略

传统型负载均衡CLB

控制网络流量方式

说明

文档链接

SSL证书加密传输

使用SSL证书对传输数据进行加密,防止数据在传输过程中被截获或篡改。

开启WAF防护

开启WAF(Web应用防火墙)功能,对网络流量进行实时监控和过滤,防止恶意攻击。

CLB开启WAF防护的使用说明?

开启访问控制ACL

开启黑白名单,限制非法访问和恶意流量的入口。

CLB访问控制

使用DDoS防护

使用DDoS防护服务,对大规模攻击进行实时防护。支持DDoS原生防护。

CLB DDoS原生防护(基础版)

设置TLS安全策略

使用安全策略,可以提高您的业务安全性。

配置HTTPS监听时,支持使用TLS安全策略。TLS安全策略包含自定义策略和系统默认策略

CLB TLS安全策略