开发者社区> 问答> 正文

云的防火墙是指白名单、安全组吗?

云的防火墙是指白名单、安全组吗?

展开
收起
游客i2i5j3xkpqrwe 2023-01-13 18:40:54 523 0
1 条回答
写回答
取消 提交回答
  • 十分耕耘,一定会有一分收获!

    楼主你好,安全组作用于虚拟机的虚拟网卡上,给虚拟机提供三层网络的访问控制,支持入方向、出方向的过滤;控制TCP/UDP/ICMP等协议进行有效过滤;也可以直接匹配所有协议;可以根据数据包的源IP进行过滤。安全组实际上可以看成是一个分布式的访问控制,扁平网络和VPC网络均支持安全组。如果需要将更多的虚拟机加入安全组,则可以动态在安全组中添加虚拟机网卡,每次规则的更新,也会动态的添加/删除安全组规则,安全组中的所有虚拟机同步更新规则。

    防火墙中有如下几个概念: 规则集:是访问控制规则的集合,包含了一系列的规则,具体作用到VPC路由器的每个网卡的出入方向,包含对数据包处理的默认行为接受、拒绝或者丢弃。 规则:访问控制策略,支持3-4层的过滤;支持配置优先级,优先级越大,生效越早。

    防火墙作用在VPC路由器上,属于集中式的VPC边缘设备,为整个VPC提供访问控制。防火墙的配置也是动态生效的,即时的配置会马上作用到VPC路由器接口;接口每个方向只能应用一个规则集。因此,接口每个方向上的策略是规则集中的所有规则,每个规则可以自定义行为,设置接受、拒绝或者丢弃。数据包进入防火墙时,根据规则集的规则优先级进行逐条匹配,如果匹配上了,则执行规则的行为;如果没有匹配上,则执行规则集的默认行为。

    防火墙可以针对不同报文状态来进行过滤,如new、established、invalid、related;也可以针对常见的协议,如TCP、UDP、VRRP、ICMP等。同时,如果协议是TCP或者ICMP,防火墙提供了更加细粒度的过滤规则,能够针对ICMP的类型、TCP的flag进行匹配,进一步细化策略,满足更多的使用场景。

    从作用范围来看,安全组作用于虚拟机网卡,而防火墙则是在VPC路由器上,保护整个VPC; 安全组是分布式部署的,在每个计算节点上都会存在,而防火墙是集中式,把VPC路由器变成了防火墙; 安全组是白名单机制,仅支持允许策略,防火墙可以自定义规则行为是允许还是拒绝; 安全组规则根据配置顺序来定优先级,防火墙则可以自定义优先级; 安全组规则的匹配内容包括源IP、源端口、协议,防火墙则包括五元组以及TCP flag、ICMP Type、报文状态。

    2023-01-13 20:44:54
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
《云防火墙实现多账号统一管控》 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载