安全组设置内网互通的方法-阿里云开发者社区

开发者社区> tobedoraemon> 正文

安全组设置内网互通的方法

简介: 虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。
+关注继续查看

    相信接触过安全组的同学肯定都知道0.0.0.0/0,这个特殊的地址段代表了所有IPV4地址,当您不能确认目标或来源地址时一般就用它来代替,例如,公网提供HTTP服务的应用就会利用0.0.0.0/0作为公网安全组入规则的来源地址。

    虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。


内网安全组互通设置方法:


1. 使用IP地址授权

    如果内网互联的实例数量较少,建议使用IP地址授权方式。

    设置方法:在安全组列表控制台,选择想要互通的实例的安全组,点击“添加安全组规则”,“授权类型”选择“地址段访问”,在“授权对象”中填入想要互通的实例的内网IP地址, 格式例如:a.b.c.d/32

917a2c8ab2524570a4aa5d8cd595fc1606f64786

优点:安全组规则清晰,好理解。

缺点:有可能受到安全组规则条数100条的限制,实例数目发生变化时维护工作量较大。


2. 加入同一安全组

    如果您的网络架构比较简单,实例中部署的业务相同,您就可以为所有的实例选择相同的安全组,绑定同一安全组的实例之间不用设置特殊规则、默认是网络互通的。


优点:安全组规则清晰。

缺点:适用于单一的应用架构,网络架构变更时需要做调整。


3. 绑定互通安全组

    为需要互通的实例新添加绑定一个专门互通用的安全组,适用于较为复杂的网络架构。

    设置方法:新建一个安全组,命名为“互通安全组”,不用给新建的安全组添加任何规则。将需要互通的实例都添加绑定新建的“互通安全组”,利用同一安全组的实例之间默认互通的特性,达到内网实例互通的效果。


优点:操作简单,适用于复杂网络架构。

缺点:安全组规则阅读性较差。


4. 安全组互信授权

    如果您的网络架构比较复杂,各实例上部署的应用都有不同的业务角色,您就可以选择使用安全组互相授权方式。

    设置方法:在安全组列表控制台,分别选择想要建立互信的实例的安全组,点击“添加安全组规则”,授权类型选择“安全组访问”

ff439562ecfcc653e3d19d76d9378805165a8654

    在添加经典网络安全组内网入方向规则时,选择“授权策略”为“允许”, “授权类型”为“安全组访问”。您将会看到右侧的两个选择:“本账号授权”,“跨账号授权”,按照您的组网要求,将有互联需求的对端实例的安全组ID填入下方的授权对象中,这样就建立了安全组互信,建立安全组互信后的实例间通信就没有阻碍了。

7fa6191ef505d989504af54e1b9c9114d6c0c918


优点:安全组规则结构清晰、阅读性强、可跨账户互通

缺点:操作稍复杂


适用范围:

  • 使用IP地址授权:适用于小规模实例间内网互通场景
  • 加入同一安全组:适用于所有实例同属于单一应用架构场景
  • 绑定互通安全组:快速达到内网互通效果,适用于多层应用网络架构场景
  • 安全组互信授权:规则结构清晰,阅读性强,适合多层应用网络架构场景

推荐的0.0.0.0/0替换流程

d587c3c32e11176066f3fab85104d3ada775f959

    如果安全组规则变更操作不当,可能会导致您的实例间通信受到影响,请在修改设置前备份您要操作的安全组规则,以便出现互通问题时及时恢复。


    另外,安全组是实例级别防火墙,它映射了所绑定的实例在整个应用网络架构中的业务角色,所以推荐大家按照自己的应用网络架构规划防火墙。例如:常见的三层WEB应用架构就可以规划为三个安全组:1. WEB 层安全组 (开放80端口)2. APP 层安全组(开放8080端口) 3 DB层安全组 (开放3306端口)。


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
ios tableView那些事 (十)设置 tableview 的分割线
<p class="p1" style="margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px; font-family:Arial; font-size:14px; line-height:26px"> <span class="s1"> [</span><span class="s2">table
1244 0
保护内网安全之Windows工作站安全基线开发(二)
本文讲的是保护内网安全之Windows工作站安全基线开发(二),保护Windows工作站免受现代的网络攻击威胁是一件非常具有挑战性的事情。 似乎每个星期攻击者们总有一些新的方法用来入侵系统并获取用户凭据。
2273 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7576 0
内网安全——利用NSA Smbtouch批量检测内网
本文讲的是内网安全——利用NSA Smbtouch批量检测内网,最近,NSA渗透工具被曝光,其中包含多个Windows远程漏洞利用工具,影响很大
2418 0
+关注
1
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载