本文为您介绍专有网络VPC基础设施安全的相关内容。
网络隔离
专有网络VPC是阿里云上用户自己的云上私有网络,是一个隔离的网络环境,专有网络之间逻辑上彻底隔离。
在专有网络VPC中,交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源实例。您可以创建多个交换机来划分VPC的网络空间,并可以将不同的ECS实例部署在不同的交换机中,不同交换机之间可以进行网络隔离。每个交换机都有自己的IP地址段和路由表,可以通过路由表进行访问控制。
控制网络流量
您可以使用以下方法来控制VPC中资源的网络流量:
创建VPC类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其他安全组来控制ECS实例的出站和入站流量。安全组是VPC内的虚拟防火墙,能够控制进出ECS实例的流量。通过将具有相同安全需求并相互信任的ECS实例放入相同的安全组,可以划分安全域,保障云上资源的安全。此外,网络ACL能够控制进出交换机的流量,通过将多个交换机绑定相同的网络ACL,可统一控制进出多个交换机的流量。结合使用安全组和网络ACL,可以有效地保护VPC内的资源安全。
IPv4网关是VPC边界上的公网IPv4流量控制组件。结合路由表配置,可以实现控制公网访问流量统一经过IPv4网关,降低分散接入带来的安全风险。
IPv6网关是VPC的公网IPv6流量网关,通过配置IPv6公网带宽和仅主动出规则,可以灵活定义IPv6的出流量和入流量。
创建自定义路由表并绑定交换机,添加自定义路由条目来控制该交换机的流量,便于更灵活地进行网络管理。
通过创建VPC对等连接,并为两端VPC分别配置路由,可以实现VPC私网互通。对等连接功能支持同账号/跨账号、同地域/跨地域VPC互通,配置前需确保两端VPC的网段不重叠。
云企业网作为多VPC互连的解决方案,可以实现企业内部多个VPC之间的网络互通,打造灵活、可靠、大规模的企业级云上网络。
网关终端节点是虚拟网关设备,在VPC中创建云服务的网关终端节点并指定关联的路由表,系统自动将增加下一跳指向网关终端节点的路由条目,实现对云服务的私网访问。
使用VPC的流日志功能捕获VPC网络中弹性网卡ENI的传入和传出流量信息,可以检查访问控制规则、监控网络流量和排查网络故障。
网络ACL与安全组
阿里云提供安全组和网络ACL两种访问控制方式,可实现VPC内实例级别或交换机级别的网络隔离。
对比项 | 安全组 | 网络ACL |
示意图 |  | |
作用范围 | 实例级别 您可以将安全组绑定一个或多个ECS。 | 交换机级别 您可以将网络ACL绑定一个或多个交换机。 |
工作方式 | 有状态,自动允许回包。 例如允许入方向访问80端口的流量时,您只需为 | 无状态,回包需单独放行。 例如允许入方向访问80端口的流量时,您既要为 |
组内控制策略 | 普通安全组:可选组内互通或隔离。 企业级安全组:默认组内隔离。 | 不控制同一个交换机内的ECS实例间的流量。 |
应用场景 | 实例间互访、对外开放端口 | 交换机级别的隔离、跨交换机访问控制 |