带你读《从基础到应用云上安全航行指南》——来上课!一文掌握守住ECS网络安全的最佳方法(3)

本文涉及的产品
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 带你读《从基础到应用云上安全航行指南》——来上课!一文掌握守住ECS网络安全的最佳方法(3)

带你读《从基础到应用云上安全航行指南》——来上课!一文掌握守住ECS网络安全的最佳方法(2):https://developer.aliyun.com/article/1441582


网络流量监控和安全防护

图中是一个非常简单的网络架构,介绍一下两个安全和分析的场景需求,第一个是安全追踪ECS4部署了公司的重要私密服务,存储了商业机密资料。

 

image.png

 

正常情况下,两个的请求量都是非常小的,有一天运维发现该服务来了一些不明的请求,公司重要资料面临泄露的风险,到底是谁在访问,另外一个是流量分析的场景需求,ECS3是一台测试机研发,从ECS2上访问进行测试,需要对ECS2的流量进行分析。以上两个场景都可以使用阿里云专有网络提供的流日志功能来实现。流日志的概念,专有网络流日志功能可以记录专用网络中弹性网卡传入和传输的流量信息,帮助您检查访问控制规则,监控网络流量和排查网络故障。

 

流日志支持捕获网卡的流量,也可以指定捕获专有网络虚拟交换机这种更高维度的流量。例如用户配置捕获交换机的流量,交换机下所有已有和新建网卡的流量都会被捕获。流日志会记录流量信息,包括流量来源,账户信息,VPC交换机,以及其他的五元组等等信息会保存到用户设置的SLS LogStore中,用户可以很方便的通过上述属性在在SLS中通过进行过滤分析,这就是流日志的一个整体介绍,下面介绍一个实践应用。

 

image.png

 

使用流日志分析两个ECS之间的带宽,第一步是登录专有网络管理控制台,在左侧导航栏选择运维与监控流日志功能,首次使用流日志功能时,您需要进行授权,并且开通流日志的功能,第四是在顶部菜单栏处选择需要创建流日志的地域,在流日志的页面单击创建流日志,在创建流日志对话框,根据左侧信息配置流日志,单击确定,完成上述所有操作以后,您可以在流日志的列表页面,发现一条新创建的流日志,点击相应的日志服务,可以进行下一步的分析。

 

image.png

 

配置好LogStore以后,就可以在SLS中配置如下查询,该SQL语句,定义的时间、带宽,目的地址的三个参数,时间和目的地址作为聚合列,并且按照时间从小到大进行排序,取1000条日志,其中参数明如下,EI网卡ID表示ECS2的弹性网卡ID,目的地址表示ECS4的私网IP地址,其余字段您可以按照示例进行输入,配置完成以后,点击查询就可以看到ECS2ECS4之间的带宽信息,这就是流日志的相关介绍。

 

接下来介绍一下流量镜像。

 

image.png

 

还是跟之前一样,构建两个安全和审计的场景。第一个安全场景,研发人员发现服务遭到了入侵,需要对流量进行分析,由于被入侵的服务是在线上生产环境中,不适合直接操作。

 

第二个是审计场景,生产环境里有重要的服务,所有的访问都需要对流量进行分析记录,但是由于该服务负载较高,不适合在内部部署分析的应用。

 

以上两个场景,可以使用阿里云提供的流量镜像功能。

 

首先介绍一下流量镜像的概念,专有网络中流量镜像功能可以镜像经过弹性网卡且符合筛选条件的报文,例如您可以复制专用网络中ECS实例网络流量,并将复制后的网络流量转发给指定的弹性网卡或者是负载均衡CLB的设备,该功能可以用于内容检查、威胁监控和问题排查等场景,介绍一下整体的概念。

 

第一,筛选条件,包含入方向的规则和出方向的规则,用于筛选在镜像会话中镜像的网络流量。入方向流量表示弹性网卡接收的流量,出方向流量表示从弹性网卡发出的流量,镜像源,需要镜像网络流量的弹性网卡实例,镜像目的,接收镜像的网络流量的弹性网卡实例或私网CLB实例,镜像会话,通过指定的筛选条件,将网络流量从镜像源复制到镜像目标的过程。关于流量镜像,就讲解这些内容,更详细的信息,您可以在阿里云官网的产品文档进一步学习。

 

image.png

 

这一章节讲解阿里云安全防护基础产品,为什么要做安全防护?互联网的产品并不总是面向内部的,一定有需要提供公网服务的需求,而网络上的访问也不总是善意的,恶意的流量无法完全避免,在攻击到来时,做好安全措施可以有效的降低损失。

 

接下来,介绍三个阿里云安全防护的基础产品。

 

第一个是云防火墙,它定位是ECS安全组的防护边界,主要是ECS。而云防火墙,可以作用更广的范围,包括互联网边界,专有网络的边界等,功能第一是控制所有公网的接入规则,还有控制云企业网高速通道的通信等等,

 

第二个产品是 DDoS 防护,它的定位是在 DDoS 流量抵达ECS主机前进行清洗,它的功能是可以防止恶意攻击流量导致的一些业务延迟,访问中断等等。

 

第三个是web应用防火墙WAF,它的定位是在web应用层七层协议进行拦截恶意流量,功能是Web应用防火墙对网站或APP的业务流量进行一些恶意特征的识别,并且能够对服务进行适当的保护。

 

由于安全的防护,会在后续的章节有其他讲师来进行更加详细的了解,在此只是做一个简单的介绍。

五、总结

  image.png

首先,做好网络的安全,首先要做好隔离,使用专有网络、虚拟交换机、终端节点,做好组网和内网的访问,避免不必要的网络暴露。

 

其次,进行网络流量的控制,通过网络ACL安全组、云防火墙等等,只放行必要的网络访问。

 

最后,进行必要的流量监控与安全防护,使用流日志和流量镜像对网络流量进行监控和分析,第一时间发现非预期的流量。利用阿里云提供的安全防护能力做好云上安全防护,攻击是无法避免的,但是完全可以做到攻击来临时保护好自己的服务不受损。

 

以上就是本节课程的全部内容。

相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
1月前
|
SQL 弹性计算 安全
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
当我们通过阿里云的活动购买完云服务器之后,并不是立马就能使用了,还需要我们设置云服务器密码,配置安全组等基本操作之后才能使用,有的用户还需要购买并挂载数据盘到云服务器上,很多新手用户由于是初次使用阿里云服务器,因此并不知道这些设置的操作流程,下面给大家介绍下这些设置的具体操作流程。
购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
|
1月前
|
弹性计算 监控 数据可视化
ECS网络流量监控
ECS网络流量监控
63 2
|
2月前
|
弹性计算 人工智能 安全
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(3)
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(3)
433 0
|
1月前
|
数据采集 监控 安全
Go语言在网络安全中的应用
【2月更文挑战第24天】Go语言,作为一种高效且易于维护的编程语言,近年来在网络安全领域得到了广泛的应用。本文旨在探讨Go语言在网络安全中的应用,包括其在防火墙、入侵检测、网络爬虫以及Web安全等方面的应用,并分析了Go语言在网络安全领域的优势与前景。
|
2月前
|
弹性计算 安全 网络安全
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)
带你读《从基础到应用云上安全航行指南》——阿里云产品专家教你如何全方位构建ECS安全体系(2)
479 0
|
6天前
|
缓存 安全 调度
代理服务器如何保护用户隐私和安全?
Python搭建代理IP池实现接口设置与整体调度
24 10
|
7天前
|
存储 监控 安全
网络安全与信息安全:防范漏洞、应用加密、提升意识
【4月更文挑战第18天】 在数字化时代,网络安全与信息安全保障已成为维护国家安全、企业利益和个人隐私的关键。本文深入探讨网络安全的多面性,包括识别和防御网络漏洞、应用加密技术保护数据以及提升全民网络安全意识的重要性。通过对这些关键领域的分析,文章旨在为读者提供实用的策略和建议,以增强其网络环境的安全防护能力。
10 0
|
14天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
35 14
|
16天前
|
安全 网络安全 网络虚拟化
虚拟网络设备与网络安全:深入分析与实践应用
在数字化时代📲,网络安全🔒成为了企业和个人防御体系中不可或缺的一部分。随着网络攻击的日益复杂和频繁🔥,传统的物理网络安全措施已经无法满足快速发展的需求。虚拟网络设备🖧,作为网络架构中的重要组成部分,通过提供灵活的配置和强大的隔离能力🛡️,为网络安全提供了新的保障。本文将从多个维度深入分析虚拟网络设备是如何保障网络安全的,以及它们的实际意义和应用场景。
|
28天前
|
弹性计算 DataWorks 关系型数据库
ECS安全组问题之加入多个安全组如何解决
ECS(Elastic Compute Service,弹性计算服务)是云计算服务提供商提供的一种基础云服务,允许用户在云端获取和配置虚拟服务器。以下是ECS服务使用中的一些常见问题及其解答的合集:

相关产品

  • 云服务器 ECS