无影云电脑如何确保网络安全_无影云电脑企业版-阿里云帮助中心

无影云电脑企业版在提供公网带宽以满足用户网络访问需求的基础上，用一系列安全手段来防止云电脑受到来自外部环境和内部的攻击，并提供了安全组管控策略和域名管控策略来控制用户的网络访问范围，满足办公用户的网络行为管控需求。

01 网络访问

1.1 安全组管控策略

无影云电脑企业版为管理员提供了安全组管控策略，来控制自己组织内的云电脑的网络访问权限。安全组管控策略由管理员自己添加的一组安全组规则组成，类似于云服务器 ECS的安全组规则，可以设置规则的方向（出方向或入方向）、授权（允许或拒绝）、优先级、协议类型、端口范围、授权对象（IP地址或地址段）和规则描述。通过不同范围和优先级的规则组合，管理员可以实现只开放指定白名单管控。

您可以根据需要添加入方向或者出方向的安全组管控规则来进一步控制云电脑的出入流量。示例场景的安全组管控规则配置如下：

示例场景1

示例场景2

示例场景3

默认情况下，云电脑允许所有出方向的访问。您可以添加以下出方向规则，实现只允许云电脑访问特定的IP地址：

规则1：拒绝所有出方向访问。示例如下：
规则方向
授权
优先级
协议类型
端口范围
授权对象
出方向
拒绝
2
全部
-1/-1
0.0.0.0/0
规则2：在规则1的基础上允许访问特定IP地址，优先级必须高于规则1。示例如下：
规则方向
授权
优先级
协议类型
端口范围
授权对象
出方向
允许
1
选择适用的协议类型。
设置合适的端口范围。
允许访问的IP地址，例如：192.168.1.1/32。

在企业专网环境下，您可以添加允许特定IP地址访问的入方向规则，实现该IP地址能够访问云电脑。示例如下：

规则方向	授权	优先级	协议类型	端口范围	授权对象
入方向	允许	1	选择适用的协议类型。	设置合适的端口范围。	允许访问的IP地址，例如：192.168.1.1/32。

假设云电脑A关联了策略a，云电脑B关联了策略b。在企业专网环境下，由于云电脑默认拒绝所有入方向的访问，云电脑A和云电脑B之间无法互相访问。您可以在策略a和策略b中添加以下入方向规则，实现云电脑A和云电脑B的网络互通：

在策略a中添加允许云电脑b访问的入方向规则。示例如下：
规则方向
授权
优先级
协议类型
端口范围
授权对象
入方向
允许
1
选择适用的协议类型。
设置合适的端口范围。
云电脑B的IP地址。
在策略b中添加允许云电脑a访问的入方向规则。示例如下：
规则方向
授权
优先级
协议类型
端口范围
授权对象
入方向
允许
1
选择适用的协议类型。
设置合适的端口范围。
云电脑A的IP地址。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：
- 规则数量限制
  最多可设置200条安全组管控规则。
- 入方向规则的限制
  云电脑默认允许所有出方向的访问，入方向的访问遵循以下原则：
  - 互联网环境下，云电脑不支持所有入方向的访问，即使您将安全组规则的入方向设置为允许，该安全组入方向规则仍然不生效。
  - 企业专网环境下，云电脑默认拒绝所有入方向的访问，但是您可以通过将安全组入方向规则设置为允许来放行符合要求的访问请求。
参考文档：安全组管控

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择运维管理 > 策略。
在策略页面上单击创建策略。
在创建策略页面上按照页面提示填写策略名称，根据需要修改策略配置，并单击确定。
策略创建完成后，您可以在策略页面的列表中查看新建的策略。

在安全组管控区域单击添加安全组规则，然后在添加安全组规则对话框中完成以下配置，并单击确定。

配置项	说明
规则方向	入方向：控制是否放行访问云电脑的请求。出方向：控制是否放行云电脑访问其他应用的请求。
授权	允许：放行访问请求。拒绝：拦截访问请求并直接丢弃数据包，不会返回任何信息。
优先级	优先级的取值范围为1~60，数值越小、优先级越高。同类型规则之间由优先级决定最终生效的规则。
协议类型	支持TCP、UDP、ICMP（IPv4）和GRE协议。
端口范围	应用或协议开启的端口。所选的协议类型为自定义TCP或者自定义UDP时，您可以设置自定义端口。设置端口时，支持输入具体的端口（如：`80`）或者端口范围（如：`1/80`）。更多信息，请参见常用端口。
授权对象	CIDR格式的IPv4地址网段。
描述	自定义的规则描述。

1.2 域名访问管控

无影云电脑企业版为管理员提供了域名管控策略，可实现按域名粒度控制自己组织内的云电脑的网络访问权限。与安全组管控策略不同，域名管控策略基于域名和DNS规则，仅需配置每条规则的域名和授权（允许或拒绝），并支持通配符（*），显著降低了针对特定Web网站和服务进行管控的难度。

示例场景：假设现有下表所示的域名，按照下表配置DNS规则即可实现精细化的权限管控。

域名	示例	访问策略	说明

域名	示例	访问策略	说明
二级域名	`example.com`	允许	云电脑访问`example.com`时，可以正常打开网页。
三级域名	`writer.examplec.com`	禁止	云电脑访问`writer.example.com`时，网页显示404。
三级域名	`developer.example.com`	允许	云电脑访问`developer.example.com`时，可以正常打开网页。
四级域名	`image.developer.example.com`	禁止	云电脑访问`image.developer.example.com`时，网页显示404。
	`video.developer.example.com`	允许	云电脑访问`video.developer.example.com`和`guide.developer.example.com`时，可以正常打开网页。
	`guide.developer.example.com`	允许

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：
- 域名限制
  为确保终端用户能正常使用云电脑，以下预留的安全域名不受DNS规则的约束，即云电脑始终允许访问这些域名。若您将这些域名的访问策略设置为拒绝，则规则不会生效。
  - *.gws.aliyun
  - *.aliyun.com
  - *.alicdn.com
  - *.aliyunpds.com
  - *.aliyuncds.com
  - *.aliyuncs.com
- 操作系统限制
  域名访问管控规则只对Windows操作系统的云电脑生效。
- 规则数量限制
  最多可设置300条DNS规则。
参考文档：域名访问管控

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择运维管理 > 策略。
在策略页面上单击创建策略。
在创建策略页面上按照页面提示填写策略名称，根据需要修改策略配置，并单击确定。
策略创建完成后，您可以在策略页面的列表中查看新建的策略。

在域名访问管控（原DNS策略）区域单击添加DNS规则，然后在添加DNS规则对话框中完成以下配置，并单击确定。

配置项	说明
域名	填写需要设置DNS规则的域名。每次只能添加1个域名，支持使用 `*` 通配符。
描述	自定义的DNS规则描述。
访问策略	可选择允许或拒绝。说明如果需要设置多条访问策略为允许的DNS规则，则必须添加一条访问策略为拒绝的DNS规则作为保底规则。有多条DNS规则时，在列表中排序越靠前的规则生效优先级越高。您可以通过移动规则顺序来调整优先级。

02 网络边界

2.1 办公网络内的云电脑互通性

云电脑运行在随办公网络（原工作区）自动创建的安全组中，不具备外网可见的IP地址和开放端口。安全组禁用了除来自流网关的ASP协议连接以外的所有外部流量，确保外来的网络攻击无法到达云电脑。无影云电脑企业版的这一基本安全机制无法通过任何方式篡改。

按照安全组的默认策略，云电脑之间也不能互相访问，从而杜绝了恶意的云电脑用户从自己的云电脑攻击其他云电脑、或者被感染和攻陷的云电脑通过内部网络感染其他云电脑的可能性。管理员可以根据业务需要开放自己的办公网络内云电脑之间的网络访问权限，此时可以借助额外的网络管控策略来防范由此带来的安全风险。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无
参考文档：开启办公网络内云电脑网络互通

配置或使用方法

同一个办公网络内的云电脑之间默认无法互相访问，如需实现网络互通，可以在办公网络详情页开启办公网络内云电脑互通功能。

在左侧导航栏，选择网络与存储 > 办公网络。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面上，单击目标办公网络的办公网络ID。
在办公网络详情页的网络信息区域，打开办公网络内云电脑互通开关。