引言:本文整理自【弹性计算技术公开课——ECS安全季】系列课程中,阿里云弹性计算技术专家刘明带来了《如何守住ECS的第一道防线——网络安全》一节。
一、网络安全中常见问题概览
我们在网络环境中常见的安全问题非常多,在此挑选了几个与网络安全高度相关的场景,带大家简单了解一下。
首先是网络系统安全,举几个例子:
第一:路由器、交换机等网络设备存在配置错误,极可能导致恶意入侵,这种是网络设备安全。
第二:Web服务器设计缺陷或者配置不当导致数据泄露,这种是服务器和应用安全、网络信息安全。我们常听说/电影情节中见到黑客对网络请求进行拦截的行为,甚至是直接篡改信息,给用户带来损失。还有一种是在同一个公司中,大家在同一个局域网内部,由于没有细分权限,发生敏感信息的泄露,比如财务部门的数据被泄露,给用户给公司带来损失。
第三:云安全,云环境中的应用没有正确配置安全组、防火墙规则等。
第四:服务器被攻击,由恶意用户发起的DDOS攻击,导致整个服务不可用,以上是网络安全问题的一些常见场景,这些都会给用户带来难以估量的损失。网络安全是一个非常重要的课题,做好防护是阿里云和用户共同的责任。
上图是解决网络安全问题的一个整体思路,首先做好网络隔离,如果您的服务不能被外部访问,甚至是不能够被内部访问,它一定是安全的。第二是做好阻断,通过使用云上提供的防火墙能力阻断不安全的访问,或者是仅允许指定端口IP访问。第三个是对流量进行监控和分析,如果发现了非预期的流量或者是访问,可以第一时间介入,进行相应的处置。第四个是做好安全防护,可能您的服务是面向公网用户的,攻击没办法完全避免,做好安全防护可以有效的降低安全问题带来的损失。
二、做好网络隔离
按照刚才提到的,讨论一下如何做好网络隔离,把“坏人”挡在门外,就不用担心他会伤害到您。
那么我们如何做好网络隔离?
第一:阿里云提供的云上虚拟的局域网专有网络,专有网络相互之间在逻辑上是完全隔离,无法通信的,利用这个特性,可以构建自己的局域网,在每一个专有网络里,用户可以根据自己的需求创建多个交换机,交换机可以绑定网络ACL进行流量的控制。
第二:建议用户把自己的网络设备按照重要程度、部署服务类型、安全等级等进行划分,根据他们的不同把相应的服务部署到不同的交换机下。
第三:尽量使用内网通信,非必要情况下不要使用公网。例如当想进行跨专有网络的通信时,优先使用阿里云提供的终端节点进行服务,终端节点是通过内网进行通信的,以上就是阿里云网络隔离的三大建议,下面会详细的介绍相关的产品。
首先,学习一下专有网络,专有网络是专有的云上私有网络,用户可以根据自己的需求在云上创建多个专有网络,在专有网络中,用户可以完全掌控自己的网络,例如可以选择地址IP的范围,阿里云提供ABC三个网段的地址段,例如10.0.0.0掩码是8的A类地址段和192.16 8.0.0掩码是16是B类地址段。用户可以在专有网络中配置路由表和网关,可以在自己定义的专有网络中使用阿里云的一些资源,如云服务器ECS,云数据库RDS和负载均衡SLB等等,专有网络还有非常多其他高级的功能,在此不再详细介绍,大家可以根据官网文档进行了解。
重点介绍安全相关的内容,专有网络提供了丰富的隔离能力,第一,在专有网络之间在逻辑上是彻底隔离的,相互之间默认无法通信。第二是专有网络内的ECS可以通过内网进行通信减少,这样就可以减少公网的暴露。第三是每个专业网络内它可以建立多个交换机,可以有利于这种网络的网络和网段的划分,不同交换之间也可以设置一些隔离。这是对专有网络的一些介绍,下面一起了解一下虚拟交换机。
接下来,了解虚拟交换机的概念,交换机是组成专有网络的基础网络设备,用来连接不同的语音资源实例,每个专有网络下,用户可以很方便的管理多个虚拟交换机,根据自己的需求进行创建、删除、配置虚拟交换机。左边图中交换机的一些概念,第一,当前的专有网络中有三个交换机,其中的两个位于可用区A,另外一个位于可用区B。每一个交换机都必须会有一个可用区中。专有网络交换机提供的安全能力主要有两点,第一,服务隔离,可以根据服务的安全等级、服务的类型进行网站的划分。第二是流量控制,专业网络,提供了网络ACL的功能,网络ACL可以绑定到交换机上,对流经交换机的流量进行访问的控制。这就是交换机的整体概念,继续看一下关于网络隔离的一些其他建议。
第一个建议是用户权限分级,设置一个网络的管理员统一来管理网安全组,网络ACL以及流量日志这些高危的权限,避免高危权限的泄露,同时出现问题时也更容易排查;普通用户无法变更网络ACL和安全组的ACL。
第二个建议是隐藏私密的内容,通过阿里云提供了网络ACL,安全组和云防火墙,限制不易公开的内容访问权限,避免数据泄露。
第三个建议是要做服务隔离,图中可以看到,有两个集群,第一个是Mysql服务集群,第二个是web服务集群。把Mysql的服务集群,都放在安全组A里,Web的服务集群都放在安全组B里。在大多数的应用场景下,只需要为安全组A配置一条允许内网进10.0.0.0掩码是8访问3306端口的规则,而安全组B配置一条允许公网及0.0.0.0且掩码是零的访问八零端口的规则,这样不同的服务它有不同的隔离级别。并且每一个服务的访问权限都是最小的。第四个建议是优先使用内网而不是公网进行通信,一个典型的场景是跨VPC的通信,第一种方案,两个VPC都引入公网。第二个方案是为每一个VPC建立一个终端节点,通过终端节点使用内网进行通信,推荐第二种方案,这样可以减少公网暴露,降低安全的风险,这就是讲解的网络隔离的内容。下一个章节会讲解如何通过网络ACL和安全组进行流量的控制。
三、控制网络流量
首先,学习一下什么是网络ACL,设想一个典型的场景,交换机A中ECS部署着重要的服务,不希望被其他交换机下的ECS访问到,这就引入了阿里云专有网络的产品能力,网络ACL,只需要给交换机A绑定一个网络ACL,同时设置网络ACL的规则,阻断其他交换机的访问,即可满足自己的需求。
再来介绍一下网络ACL的概念,网络ACL是专有网络中的网络放置、网络访问控制功能,网络ACL的作用范围是专有网络下的虚拟交换机上,您可以自定义设置网络ACL规则,并将网络ACL与交换机进行绑定,实现对交换机中云服务器ECS实例流量的访问控制。
网络ACL的几点特性:
第一是无状态,设置入方向规则的允许请求后,必须要同时设置出方向的规则,否则就可能导致请求出去了回不来,或者是能进来回不去。
第二点是网络ACL内没有任何规则时,会拒绝所有出入方向的访问,默认是拒绝所有访问的。
第三点也是需要注意的,从交换机下的ECS流量不受网络ACL的限制,左图中大概描述了网络ACL的作用原理,需要说明的是,本节只讲解网络ACL,没有考虑安全组的影响。整个图片分为两部分,左侧表示所有交换机没有绑定网络ACL的场景,在这种场景下,整个专有网络的ECS都不受网络ACL的限制,是可以互相访问的。图片的右侧,表示两个交换机都绑定了网络ACL,左侧交换机内的ECS可以彼此互相访问,不受网络AC的控制,右右侧交换机访问左侧交换机需要受到网络ACL规则的限制。本节讲解了网络ACL的基本概念,下面深入学习一下网络ACL的规则。
ACL规则由以下要素构成,生效顺序、策略、协议类型、源地址、目的地址、目的端口范围等。生效顺序表示生效的优先级,值越小,规则的优先级越高。系统从生效顺序为一的规则开始判断,只要有一条规则与流量匹配及应用该规则,并忽略其他规则。例如,交换机B中的IP为172.16.0.1的ECS。通过TCP协议访问交换机C中的ECS,再经过如表所示的ACL规则配置后,172.16.0.1的匹配生效顺序2和生效顺序3中规则的源地址。
由于生效顺序2的优先级高于生效顺序3,所以会根据生效顺序2的规则拒绝该请求。策略,针对特定流量选择允许或拒绝。协议类型,指定数据流的协议类型,阿里云的ACL协议支持ALL、ICMP、GRE、TCP、UDP五种。第一种是ALL,即所有协议,当选择所有协议类型时,端口的范围是没办法设置的,必须为-1/-1,表示不限制端口,ICMP协议,网络控制报文协议,当选择该协议类型时。
端口范围无法设置,为-1/-1,表示无限制端口,GRE通用路由封装协议,当选择该封装协议时,端口范围无法设置,为-1/-1,表示不限制端口,TCP传输控制协议,当选择该协议类时,端口范围为1~65535,设置格式可以为1/200或80/80,并且不能设置为-1/-1,UDP是用户数据报协议,当选择该协议类型时,端口范围为1~65535,设置格式为1/200或80/80,且不能设置为-1/-1。源地址,是用于限制入方向的规则,数据流的源地址,目的地址,是用于限制出方向的规则,表示数据流的目的地址,目的端口的范围,是用于限制入方向规则作用的端口范围,这个就是ACL构成要素的一些详解。
通过网络ACL限制流量,主要分为三步,第一步是创建网络ACL,第二步是将创建的网络ACL关联到交换机,第三是设置网络ACL的规则,设置后所有的规则会自动对交换机下的ECS的生效,创建网络ACL是首先在的控制台专有网络ACL的页面点击创建网络ACL,也可以通过OpenAPI CreateNetworkAcl 创建ACL,第二步是关联交换机,可以在VPC的控制台、专有网络、网络ACL、网络ACL详情的页面点击关联交换机,也可以通过 OpenAPI AssociateNetworkAcl 绑定ACL到交换机。
第三是设置规则,在VPC的控制台,选择专有网络、网络ACL、网络ACL详情及出入方向的规则进行设置,也可以通过 OpenAPI UpdateNetworkAclEntries 更新网络ACL规则,注意第二步中的OpenAPI 是一个义务的操作,可以通过OpenAPI DescribeNetworkAclAttributes 查询网络ACL的规则的更新状态,更新结果,这就是要讲解的网络ACL详情,下面我们会重点讲解一下,阿里云ECS安全组。
什么是安全组,设想几个常见的安全场景:
- 有一个Mysql集群,并且只想对内网放开3306端口的访问
- 有一个web集群,只想放80/443端口的外部访问
- 有一个AB两个服务集群,彼此之间不希望他们进行通信
- 同交换机下的两台ECS不允许彼此访问
前三条都可以通过网络ACL实现,但是最后一个场景不行,只能用安全组实现,因为前文提到过,同交换机下的 ECS 是不受网络ACL 的限制的。
安全组的概念:安全组是一种网卡粒度的虚拟防火墙,能够控制ECS实例的出入站流量。安全组的入方向规则控制ECS实力的入站流量,出方向规则控制ECS实力的出站流量。通俗的讲,就像是一个小区的门卫,只放行允许的访问,对于不允许访问会拒绝掉。
上个章节讲解了网络ACL,安全组和它有什么不同?
- 首先是作用范围,网络ACL的作用范围是交换机下的所有ECS,而安全组的生效范围是安全组中的所有ECS。
- 安全组是有状态的,网络ACL没有状态,举个例子,源端的ECS出方向的安全组规则允许访问目的端的ECS,即使源端入方向的不允许目地端的ECS放外,出方向的返回请求也不会被拦截。简单概括是安全组能出去就一定能回来,能进去也一定能回来。需要注意的是,由目的端主动发起的对源端的访问会被拦截掉。而网络ACL则是无状态的,出入方向必须同时配置允许方向的规则才可以放行允许访问。
- 第三点是同交换机下的ECS受安全组规则的限制,但是不受网络ACL的限制。
- 第四点是同安组的ECS可以允许互相访问,也可以关闭互相访问的功能。第五是安全组支持组组授权,并且也支持跨账号的数据授权,这一点在功能上是非常强大的,下一节会重点介绍安全组的作用原理。
本节主要介绍安全组的作用原理,要想安全组生效,需要进行如下操作,第一,创建安全组,第二,根据自己的需求设置安全组的规则,第三,将ECS或者弹性网卡加入安全组。当一台ECS加入安全组后,该安全组的所有规则会自动对该ECS生效,流入或者流出ECS所有流量都要受到这些规则的限制。
例如,图中下方的ECS,加入一个安全组,该安全组配置了一条规则,允许来源IP为192.168.1.100的访问,访问22端口,对于来自于192.168.0.100的流量,就是不允许访问的,来自192.168.1.100的流量,对于22个端口的访问会被放行,这就是安全组的作用原理。下一节会重点讲解一下安全组ACL的一个规则。
首先是单条自定义的安全组规则由以下的组成元素,第一是协议类型,第二是端口范围,第三是授权对象,第四是授权策略,第五是优先级,第六是规则方向,第七是规则ID。
详细的介绍一下各个元素,首先是协议类型,匹配流量的协议类型,支持TCP、UDP、ICMP(IPv4)、ICMP(IPv6)和GRE,端口的范围,匹配流量的目的端口,对于TCP和UDP协议,可以指定一个斜线(/)分隔的端口范围,比如8000/9000,或22/22。对其他协议,该字段取值-1/-1表示所有端口。
授权对象:入方向规则中匹配流量的源地址,出方向规则中匹配流量的目的地址。支持CIDR地址块(或IP地址)、安全组、前缀列表三种类型。
具体如下,举个例子,IPv4地址:例如192.168.0.100,IPv4 CIDR地址块:例如192.168.0.0/24,掩码是24位的地段,IPV6地址和IPV6地址段就不再去详细的介绍,还有一个是安全组的ID。支持当前账号下的安全组,或者是跨账号的安全组,还有前缀列表的ID,前缀列表是一些网络前缀。比如CIDR地址块的一些集合,授权对象为前缀列表时,注意该条规则会占用安全组规则的配额数,该条规则占用安全组规则的配额数量,为前缀列表最大条目数,与前缀列表中已有条目数量无关。这一点是需要注意的,下一个是授权策略,可以是允许或者是拒绝,优先级后面会重点去介绍。
下一个是规则的方向,就是出方向或者是入方向,还有规则的ID是表示是唯一组件,安全组规则基于协议类型、端口范围、授权对象来匹配流量,并基于授权策略来允许或拒绝放通流量。对于一般的入方向规则,授权对象匹配流量的来源地址、端口范围、匹配流量的目的地址,对于一般的出方向规则,授权对象匹配流量的目的是端口范围,匹配流量的目的端口,这一点是需要好好的去理解一下。本节重点讲解了安全组ACL的一个构成。下一节会讲解规则的排序策略。
安全组规则的排序依据,可以归纳成两点,第一点是考虑规则的优先级,优先级数值越小的规则,优先级越高,而高优先级的规则总是排在低优先级规则的前面;第二是考虑授权的策略,遵循拒绝规则优先的原则,在两条规则优先级行同时,授权策略的不拒绝的规则是排在授权策略允许的规则之前。
来举一个例子,直观理解一下,上面的图中,是有一个ECS加入了安全组A和安全组B,安全组A和B分别有两条入方向的规则,安全组A和安全B的规则都对该ECS生效,所以访问ECS流量都会受到这些规则的约束,A和B的两个安全组的规则排序后的结果。
首先,是按照优先级进行排序,所以是优先级为1的规则,sgr-4排在最前面,优先级为100的规则,sgr-2排在最后面,由于sgr-2和sgr-3的优先级都是二,所以是按照策略进行排序,即拒绝优先,策略为拒绝的排在策略为允许的前面,由于sgr-3是拒绝,所以sgr-3它排在了sgr-2前面,100.0.0.0/8中100.0.1.0/24的顶端不允许访问该ECS的22端口,该断定的其他地址段可以访问该ECS的22端口,也就是右侧图中蓝色线条中这个橙色的部分不允许访问,不允许访问该ECS,其他的部分都是允许的,本节讲解了安全组规则的排序策略,下一节讲解安全组规则的授权对象前缀列表。
有一种特殊的需求场景,比如,您在线下的 IDC 有大量的物理机通过公网IP访问服务,左图,最左边框里代表一个线下 IDC 的服务集群,这里面可能有 100 多个公网 IP,他们通过官网访问云上的两个集群,这两个集群分别位于安全组 A 和安全组 B,安全组和 A 和 B 都需要放行这 100 多个公网 IP。
现在有两种方案,第一种方案,不使用前缀列表的方案,要做的操作是为安全组 A 和B,分别添加允许线下 100 多个公共 ID 访问的入方向规则,这种方案的缺点是,第一运维成本高,需要做IP数乘以安全组数的次操作,也就是100 乘以 2,200多次操作。第二个是每新增一个IP,需要维护每个安全组的规则,每新增一个IP需要有两次操作。
第二种方案,是使用前缀列表,使用前缀列表需要做如下操作:
- 创建前缀列表。
- 将线下IDC的100个IP加入到前缀列表中
- 为安全组A和B分别添加一条入方向允许访问的规则,规则的授权对象是在1中创建的集用列表
第二个方案极大的降低了运维成本,运维操作数就等于IP的数量,只需要去操作100次。并且攻击事件发生时,可以快速封禁恶意 IP。举个例子,假设线下IDC的这些公网IP是一些恶意的IP,对它进行封禁,发现一个恶意IP,只需要维护一下前缀列表就可以,它就会对所有的IP组都会生效,可以达到快速平定的目的。这就是使用安全组使用前缀列表的场景和介绍。
在云上的实践中,逐渐总结出来一套设置安全组规则的最佳实践,接下来会进行一下分享。
第一点规划,您可以为安全组设置名称描述,也可以设置安全组的标签资源组,便于进行分类运维,建议您合理设置这些信息,方便快速识别安全组用途,在管理较多安全组时,更加清晰。
第二点是以白名单的方式访问安全组,即默认拒绝所有访问,添加允许规则来放通指定的端口范围或者是授权对象。
第三是最小授权的原则,避免设置0.0.0.0的全通对象,第二是仅开放允许放开的IP段端口协议,开放 Linux 实例的 22 端口用于远程登录时,建议仅允许特定的 IP (如跳板机 IP)访问,而非所有 IP(0.0.0.0/0),减少被非法侵入风险。按照用途将规则维护在多个安全组中,并将实例关联到这些安全组。单个安全组的规则数量越多,会增加管理的复杂度,
第四点做好隔离,不同类型应用的实例,加入到不同的安全组,分别维护安全组的规则,例如将允许公网访问的实例关联到同一个安全组,仅放通对外提供服务端口,例如80/443,默认拒绝其他的所有访问,避免在允许公网访问的实例上提供一些微信的服务。内部比如 MySQL、Redis 等,建议将这些内部的服务部署在不允许公网访问的实例上,并关联其他的安全组。
第五点避免直接修改线上环境使用的安全组,可以先克隆一个安全组在测试环境调试,能确保修改后流量是正常的,在对安全组的线上规则去进行变更。
第六点是利用组内互通,同一个安全组的ECS默认是可以互相访问的,可以将需要互相通信的ECS实例加入到同一个安全组,避免复杂的 ACL 维护。
第七点是利用组组授权,以安全组为授权对象添加规则,安全组规则中五元组中的来源和目的,都可以使用安全组,用户可以把部署相同服务的ECS统一放入到同一个安全组A中,将安全组A作为另外一个安全组规则B的来源并设置放行,安全组A中的ECS都可以访问B中的ECS,这样可以非常便捷的做好服务的隔离。
第八是使用前缀列表,正如上一节提到的,安全组规则,元素来源和目的都可以使用前缀列表,这样能够极大的降低运维成本,当攻击来临时,运维的越快,风险和损失就越小,讲解完原理和建议,接下来是一个实践环节。
可以通过控制台管理安全组的规则和成员,第一是管理安全组规则,在ECS控制台安全组列表页选择具体的安全组,点击安全组详情,设置安全组的规则,第二是管理安全组内的ECS或者弹性网卡。在ECS控制台,安全组列表页,选择具体的安全组,在实际列表页或者是网卡列表tab页面上管理安全组页的成员,第三是更换ECS安全组,可以在ECS控制台实例列表页面选择具体的实例,有一个安全组的tab,点击修改安全组就可以更换ECS安全组,也可以使用OpenAPI管理安全组的规则和成员,下一节会讲解。
阿里云提供了管理安全组规则合成的六个核心API,他们可以添加安全组入方规则,添加安全组出方向规则,删除安全组入方规则,删除安全组出发规则,ECS或弹性网卡加入到安全组中,ECS或弹性网卡点击开安全组,右侧是一个请求的实例,可以通过common request或者是阿里云提供的SDK,对这些API进行调用,这就是流量控制的完整内容。
四、网络流量监控和安全防护
图中是一个非常简单的网络架构,介绍一下两个安全和分析的场景需求,第一个是安全追踪ECS4部署了公司的重要私密服务,存储了商业机密资料。
正常情况下,两个的请求量都是非常小的,有一天运维发现该服务来了一些不明的请求,公司重要资料面临泄露的风险,到底是谁在访问,另外一个是流量分析的场景需求,ECS3是一台测试机研发,从ECS2上访问进行测试,需要对ECS2的流量进行分析。以上两个场景都可以使用阿里云专有网络提供的流日志功能来实现。流日志的概念,专有网络流日志功能可以记录专用网络中弹性网卡传入和传输的流量信息,帮助您检查访问控制规则,监控网络流量和排查网络故障。
流日志支持捕获网卡的流量,也可以指定捕获专有网络虚拟交换机这种更高维度的流量。例如用户配置捕获交换机的流量,交换机下所有已有和新建网卡的流量都会被捕获。流日志会记录流量信息,包括流量来源,账户信息,VPC交换机,以及其他的五元组等等信息会保存到用户设置的SLS LogStore中,用户可以很方便的通过上述属性在在SLS中通过进行过滤分析,这就是流日志的一个整体介绍,下面介绍一个实践应用。
使用流日志分析两个ECS之间的带宽,第一步是登录专有网络管理控制台,在左侧导航栏选择运维与监控流日志功能,首次使用流日志功能时,您需要进行授权,并且开通流日志的功能,第四是在顶部菜单栏处选择需要创建流日志的地域,在流日志的页面单击创建流日志,在创建流日志对话框,根据左侧信息配置流日志,单击确定,完成上述所有操作以后,您可以在流日志的列表页面,发现一条新创建的流日志,点击相应的日志服务,可以进行下一步的分析。
配置好LogStore以后,就可以在SLS中配置如下查询,该SQL语句,定义的时间、带宽,目的地址的三个参数,时间和目的地址作为聚合列,并且按照时间从小到大进行排序,取1000条日志,其中参数明如下,EI网卡ID表示ECS2的弹性网卡ID,目的地址表示ECS4的私网IP地址,其余字段您可以按照示例进行输入,配置完成以后,点击查询就可以看到ECS2到ECS4之间的带宽信息,这就是流日志的相关介绍。接下来介绍一下流量镜像。
还是跟之前一样,构建两个安全和审计的场景。第一个安全场景,研发人员发现服务遭到了入侵,需要对流量进行分析,由于被入侵的服务是在线上生产环境中,不适合直接操作。
第二个是审计场景,生产环境里有重要的服务,所有的访问都需要对流量进行分析记录,但是由于该服务负载较高,不适合在内部部署分析的应用。
以上两个场景,可以使用阿里云提供的流量镜像功能。首先介绍一下流量镜像的概念,专有网络中流量镜像功能可以镜像经过弹性网卡且符合筛选条件的报文,例如您可以复制专用网络中ECS实例网络流量,并将复制后的网络流量转发给指定的弹性网卡或者是负载均衡CLB的设备,该功能可以用于内容检查、威胁监控和问题排查等场景,介绍一下整体的概念。
第一,筛选条件,包含入方向的规则和出方向的规则,用于筛选在镜像会话中镜像的网络流量。入方向流量表示弹性网卡接收的流量,出方向流量表示从弹性网卡发出的流量,镜像源,需要镜像网络流量的弹性网卡实例,镜像目的,接收镜像的网络流量的弹性网卡实例或私网CLB实例,镜像会话,通过指定的筛选条件,将网络流量从镜像源复制到镜像目标的过程。关于流量镜像,就讲解这些内容,更详细的信息,您可以在阿里云官网的产品文档进一步学习。
这一章节讲解阿里云安全防护基础产品,为什么要做安全防护?互联网的产品并不总是面向内部的,一定有需要提供公网服务的需求,而网络上的访问也不总是善意的,恶意的流量无法完全避免,在攻击到来时,做好安全措施可以有效的降低损失。接下来,介绍三个阿里云安全防护的基础产品,第一个是云防火墙,它定位是ECS安全组的防护边界,主要是ECS。而云防火墙,可以作用更广的范围,包括互联网边界,专有网络的边界等,功能第一是控制所有公网的接入规则,还有控制云企业网高速通道的通信等等,
第二个产品是 DDoS 防护,它的定位是在 DDoS 流量抵达ECS主机前进行清洗,它的功能是可以防止恶意攻击流量导致的一些业务延迟,访问中断等等,第三个是web应用防火墙WAF,它的定位是在web应用层七层协议进行拦截恶意流量,功能是Web应用防火墙对网站或APP的业务流量进行一些恶意特征的识别,并且能够对服务进行适当的保护。由于安全的防护,会在后续的章节有其他讲师来进行更加详细的了解,在此只是做一个简单的介绍,
五、总结
首先,做好网络的安全,首先要做好隔离,使用专有网络、虚拟交换机、终端节点,做好组网和内网的访问,避免不必要的网络暴露。其次,进行网络流量的控制,通过网络ACL安全组、云防火墙等等,只放行必要的网络访问,最后,进行必要的流量监控与安全防护,使用流日志和流量镜像对网络流量进行监控和分析,第一时间发现非预期的流量。利用阿里云提供的安全防护能力做好云上安全防护,攻击是无法避免的,但是完全可以做到攻击来临时保护好自己的服务不受损。
以上就是本节课程的全部内容。
