安全设备/系统
如果是安全意识高的运维人员,可能会发现云服务器厂商基本上提供了一个叫做安全组的功能设置项。那什么是安全组?和windows防火墙类似,安全组是一种虚拟防火墙,可以对进出云服务器的流量进行数据包过滤,是一种重要的网络安全隔离手段。
安全组是一个逻辑上的分组,可以将同一地域内具有相同网络安全隔离需求的云服务器添加到同一个安全组,用户通过配置安全组规则,实现统一的网络访问控制。在安全组内,可以放行系统相应的端口号以及IP访问权限,如设置只能某些IP才可访问此台服务器,或禁用某些指定端口或FTP与ping功能。
除了提供类似防火墙的功能外,使用安全组还有以下好处:1、由于安全规则的虚拟性,入侵者不容易像攻击物理防火墙那样,选定一个明确的目标来发动攻击;2、因为安全规则通过远程控制,不会出现误删除网络规则,而把所有人都屏蔽到网段外的情况;3、可以方便地从外部网络通过SSH或其它安全链接直接访问每台云服务器,因为这些访问必须符合特定的安全规则,所达到的安全性与传统方案类似。
通过部署云服务器安全组,可以在同一地域的不同服务器之间实现内网互通与资源拷贝;当服务器被黑客操控,也可以通过修改远程端口以限制登录IP;另外,安全组还支持通过公网远程连接和管理服务器,用户可以通过HTTP、HTTPS服务访问到您的网站。
那么,如何设置云服务器安全组呢?以西部数码为例,安全组可适用于所有机房的弹性云,无区域限制。用户只需登录管理后台,在个人中心—服务器管理—管理界面,选择更多—安全组功能,填写安全组名称和说明,点击添加,则安全组创建成功,如图:
在安全组列表界面,可以根据IP地址查询安全组信息,设置安全组规则,或进行部署、禁用与删除等操作。添加安全组规则支持的配置项有:协议(TCP/UDP/ICMP)、源IP类型IP地址、源端口与目标端口、优先级和行为(阻止或放行)。每个安全组最多可以添加100条规则,每条规则存在优先级属性,数字越大,优先级越高,可取值范围为1-1024。
用户可以使用西部数码安全组功能对一组云服务器的入流量进行数据包过滤(不限制出流量)。默认情况下所有数据包全部放行,若要实现类似于针对某个端口默认禁止、仅允许特定服务器访问的场景,只需要添加两条规则:一条低优先级的规则禁止某个端口的所有流量,一条高优先级的规则放行特定源IP的流量即可。安全组同时支持模板导入,如需允许远程桌面、禁用危险或指定端口等操作,导入对应规则即可,避免了重复配置的麻烦。
值得注意的是,在安全组规则设置过程中,应遵循最小授权原则。例如,您可以选择开放具体的端口,谨慎进行全网段授权;对不同的应用,采用不同的安全组策略;对有相同安全保护需求的服务器,可加入同一安全组,无需分别建组;同时,规则尽量简洁,避免对一台服务器限制过多,导致访问时网络不通等问题。
全部0条评论
快来发表一下你的评论吧 !