使用专有网络VPC访问控制功能

为保证资源的数据安全,您可以通过访问控制策略,对专有网络VPC的访问进行控制,允许被授权的用户访问资源。

概述

专有网络VPC支持的访问控制功能包括:

  • 网络ACL:网络ACL是专有网络VPC中的网络访问控制功能。您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中ECS实例流量的访问控制。关于网络ACL的详细介绍,请参见网络ACL概述

  • 安全组:安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。更多信息,请参见安全组概述

使用网络ACL功能

网络ACL是专有网络VPC中的网络访问控制功能。您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中ECS实例流量的访问控制。

配置网络ACL

网络ACL可以通过以下方式进行配置:

网络ACL应用

您可以通过网络ACL的功能特性和规则说明来自定义网络ACL的入方向和出方向规则。设置了网络ACL的入方向和出方向规则后,您可以更灵活的控制专有网络VPC内云资源的入方向和出方向的流量。更多信息,请参见网络ACL概述典型应用

网络ACL使用实例

您可以通过网络ACL功能限制不同交换机下ECS实例或者限制本地数据中心与云上的互通。具体操作,请参见限制不同交换机下的ECS间的互通限制本地数据中心与云上的互通

使用安全组功能

安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力,您可以基于安全组的特性和安全组规则的配置在云端划分安全域。

安全组和安全组规则

安全组分为普通安全组和企业安全组。企业安全组面向企业级场景,可以容纳更多的实例、弹性网卡和私网IP,而且访问策略更加严格。

  • 实例加入安全组的规则如下:实例至少加入一个安全组,可以同时加入多个安全组。实例上挂载的弹性网卡中,辅助网卡可以加入和实例不同的安全组。实例不支持同时加入普通安全组和企业安全组。

  • 安全组在未添加安全组规则时,自身已经具有控制出入流量的一些特性。在这些特性基础上,您可以继续新增、修改安全组规则更精细地控制出入流量。新增、修改安全组规则后,会自动应用于安全组内所有实例。安全组规则支持针对IP地址、CIDR地址块、其他安全组、前缀列表授权。更多信息,请参见添加安全组规则

  • 在控制台创建安全组时,系统会自动添加默认规则,您可以根据需要维护这些规则。

安全组使用指导

使用安全组控制实例流量的典型使用流程如下:

  1. 创建安全组。

  2. 添加安全组规则。

  3. 将实例加入安全组。

  4. 按需管理已有安全组和安全组规则。

使用安全组控制辅助网卡流量的典型使用流程如下:

  1. 创建安全组。

  2. 添加安全组规则。

  3. 将辅助网卡加入安全组。

  4. 将辅助网卡绑定至实例。

  5. 按需管理已有安全组和安全组规则。

关于安全组的具体操作和应用案例,请参见创建安全组安全组应用案例

安全组配置案例

当您创建VPC类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其他安全组。关于安全组配置案例,请参见ECS安全组配置案例