文档

基础设施安全

更新时间:

本文为您介绍专有网络VPC基础设施安全的相关内容。

网络隔离

专有网络VPC是阿里云上用户自己的云上私有网络,是一个隔离的网络环境,专有网络之间逻辑上彻底隔离。

在专有网络VPC中,交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源实例。您可以创建多个交换机来划分VPC的网络空间,并可以将不同的ECS实例部署在不同的交换机中,不同交换机之间可以进行网络隔离。每个交换机都有自己的IP地址段和路由表,可以通过路由表进行访问控制。

控制网络流量

您可以使用以下方法来控制VPC中资源的网络流量:

  • 当您创建VPC类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其他安全组来控制ECS实例的出站和入站流量。安全组是一种虚拟防火墙,可以对ECS实例进行细粒度的访问控制,从而实现精细化的安全管理。此外,您还可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制。网络ACL可以对交换机中的所有ECS实例的流量进行控制,对于需要限制流量的大规模应用非常有用。通过使用安全组和网络ACL,可以有效地保护VPC内的资源安全,提高系统的安全性和可靠性。详细信息,请参见安全组概述网络ACL概述

  • IPv4网关是连接VPC和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。详细信息,请参见IPv4网关概述

  • IPv6网关是专有网络VPC的一个IPv6流量网关。您可以通过配置IPv6公网带宽和仅主动出规则,灵活定义IPv6的出流量和入流量。详细信息,请参见什么是IPv6网关

  • 您可以在VPC内创建自定义路由表,并在自定义路由表中添加自定义路由条目,然后将自定义路由表绑定至交换机来控制该交换机的流量,方便您更灵活地进行网络管理。详细信息,请参见子网路由

  • VPN网关是一种安全的网络连接方式,可以在公网环境下实现VPC和本地数据中心之间的安全连接。通过VPN网关,可以使用IPsec VPN和SSL VPN协议,实现站点到站点的安全连接和远程用户的安全接入。详细信息,请参见什么是VPN网关

  • 高速通道是一种高速、低延迟、高可靠性的网络连接方式,可以实现VPC和本地数据中心之间的高速互联。通过高速通道,可以通过一个物理专线连接多个VPC和本地数据中心,实现私有网络的互联。详细信息,请参见什么是高速通道

  • VPC对等连接是一种VPC之间的网络连接方式,可以实现VPC之间的数据传输和资源共享。通过VPC对等连接,可以在不同的VPC之间建立点对点的网络连接,实现不同VPC之间的互联和资源共享。详细信息,请参见VPC对等连接概述

  • 云企业网是一种多VPC互连的解决方案,可以实现企业内部多个VPC之间的网络互通。通过云企业网,可以将企业内部所有VPC互相连接起来,为您打造一张灵活、可靠、大规模的企业级云上网络。详细信息,请参见什么是云企业网

  • 网关终端节点是一个虚拟网关设备,在VPC中创建云服务的网关终端节点并指定关联的路由表,系统自动将该云服务的下一跳路由指向网关终端节点,实现对云服务的私网访问。详细信息,请参加网关终端节点

  • 使用VPC的流日志功能捕获VPC网络中弹性网卡ENI(Elastic Network Interface)的传入和传出流量信息,帮助您检查访问控制规则、监控网络流量和排查网络故障。详细信息,请参见流日志概述

网络ACL与安全组

与交换机绑定的网络ACL规则控制流入和流出交换机的数据流,与ECS实例相关的安全组规则控制流入和流出ECS实例的数据流。网络ACL和安全组的基本差异如下表所示。

对比项

网络ACL

安全组

功能

通过自定义设置网络ACL规则,并将网络ACL与vSwitch绑定,实现对vSwitch中ECS流量的访问控制。

安全组是作用于弹性网卡ENI和ECS的虚拟防火墙。

运行范围

在交换机级别运行。

在ECS实例级别运行。

返回数据流状态

无状态:返回数据流必须被规则明确允许。

有状态:返回数据流会被自动允许,不受任何规则的影响。

是否评估规则

不评估所有规则,按照规则的生效顺序处理所有规则。

执行规则前,会评估所有规则。

与ECS实例的关联关系

ECS实例所属的交换机仅允许绑定一个网络ACL。

一个ECS实例可加入多个安全组。