带你读《云网络:数字经济的连接》第三章云数据中心网络3.1VPC(四)

本文涉及的产品
公网NAT网关,每月750个小时 15CU
私网连接 PrivateLink,5万GB流量 1.5万小时实例时长
简介: 《云网络:数字经济的连接》第三章云数据中心网络3.1


3.1.5 VPC 网络安全设计

网络安全是关键一环,涉及面非常广,包括租户安全隔离、通信安全、安全防护等。这里仅从VPC 角度出发介绍相关的网络安全设计,包括网络层面的访问控制、网络流量的加解密,以及为了实现更高级别的应用层安全所需要的流量镜像等。


1. 网络ACL

网络ACLNetwork Access Control List)是VPC 中的网络访问控制功能。用户可以自定义设置网络ACL 规则,并将网络ACL 与交换机绑定,实现对交换机中云服务器ECS 实例的流量访问控制。


子网间网络访问控制策略:网络安全设计中很重要的一点是划分网络安全边界。

在把不同业务或不同部门划分到VPC 的不同子网后,可以通过网络ACL,在不同的子网边界部署安全访问控制策略,以实现网络的安全访问控制。


网络ACL 的规则是无状态的,在设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能导致请求无法响应。

VPC 边界的网络访问控制策略:VPC 存在和外部网络互联的边界,将网络ACL 应用到对应的子网/ 交换机可以实现对互联网流量的网络访问控制,如图3-7 所示。

image.png

图3-7 VPC 边界的网络访问控制策略

比较典型的应用场景包括:

黑白名单:明确拒绝或接受一些公网IP 地址的流量。

主动安全防护:仅放行一些特定协议和端口的流量到后端。


2. 安全组

网络ACL 是对应子网粒度的访问控制策略,而对应主机粒度的访问控制策略, 是安全组。

安全组是一种虚拟防火墙,具备状态检测和数据包过滤的功能,用于在云端划分安全域。通过配置安全组规则,可以控制安全组内ECS 实例的入流量和出流量。

安全组是有状态的。例如,在会话期内,如果连接的数据包在入方向是被允许的,则在出方向也是被允许的。


3. 流量加密

VPN 产品访问云上的数据通过IPSec SSL VPN 方式进行加密,负载均衡产品访问云上的数据通过HTTPS 方式进行加密。一些对安全性要求较高的行业,对于VPC 内私网数据也有加密的需求。


4. 流量镜像

在一些场景下,用户需要对流量做深层次的分析,例如详细的流量内容审计或者深入的安全趋势分析就用到了流量镜像。

流量镜像将用户想要分析的流量镜像发送到一个目的地址,此时发送的流量包含报文头和流量负载内容,如图3-8 所示。

image.png

图3-8 流量镜像

相关实践学习
使用ROS创建VPC和VSwitch
本场景主要介绍如何利用阿里云资源编排服务,定义资源编排模板,实现自动化创建阿里云专有网络和交换机。
阿里云专有网络VPC使用教程
专有网络VPC可以帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。 产品详情:https://www.aliyun.com/product/vpc
相关文章
|
13天前
|
负载均衡 网络协议 算法
不为人知的网络编程(十九):能Ping通,TCP就一定能连接和通信吗?
这网络层就像搭积木一样,上层协议都是基于下层协议搭出来的。不管是ping(用了ICMP协议)还是tcp本质上都是基于网络层IP协议的数据包,而到了物理层,都是二进制01串,都走网卡发出去了。 如果网络环境没发生变化,目的地又一样,那按道理说他们走的网络路径应该是一样的,什么情况下会不同呢? 我们就从路由这个话题聊起吧。
46 4
不为人知的网络编程(十九):能Ping通,TCP就一定能连接和通信吗?
|
2月前
|
算法 数据中心
数据结构之数据中心网络路由(BFS)
本文介绍了数据中心网络路由中使用广度优先搜索(BFS)算法的重要性及其应用。随着数据中心从集中式大型机系统发展到分布式架构,高效的数据路由成为确保低延迟、高吞吐量和网络可靠性的关键。BFS通过系统地探索网络层次,从源节点开始向外遍历,确保发现最短路径,特别适合于数据中心网络环境。文中还提供了BFS算法的具体实现代码,展示了如何在数据中心网络中应用该算法来查找节点间的最短路径,并讨论了BFS的优缺点。
47 0
数据结构之数据中心网络路由(BFS)
|
2月前
|
弹性计算 安全 容灾
阿里云DTS踩坑经验分享系列|使用VPC数据通道解决网络冲突问题
阿里云DTS作为数据世界高速传输通道的建造者,每周为您分享一个避坑技巧,助力数据之旅更加快捷、便利、安全。本文介绍如何使用VPC数据通道解决网络冲突问题。
94 0
|
2月前
|
物联网 5G 数据中心
|
3月前
|
Docker 容器
docker swarm启动服务并连接到网络
【10月更文挑战第16天】
48 5
|
3月前
|
安全 网络架构
无线网络:连接未来的无形纽带
【10月更文挑战第13天】
83 8
|
3月前
|
存储 网络协议 Java
【网络】UDP回显服务器和客户端的构造,以及连接流程
【网络】UDP回显服务器和客户端的构造,以及连接流程
61 2
|
3月前
|
人工智能 安全 搜索推荐
|
3月前
|
监控 安全 5G

热门文章

最新文章

相关产品

  • 专有网络VPC