云服务器内容精选

华为云首页 用户手册

网络安全
  • 云数据库 GAUSSDB-如何防止任意源连接GaussDB数据库
    如何防止任意源连接 GaussDB数据库 数据库开放EIP后,如果公网上的恶意人员获取到您的EIP DNS和数据库端口,那么便可尝试破解您的数据库并进行进一步破坏。因此,强烈建议您保护好EIP DNS、数据库端口、数据库账号和密码等信息,并通过云数据库 GaussDB 实例的安全组限定源IP,保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码,请按照云数据库GaussDB实例的密码策略设置足够复杂度密码,并定期修改。 父主题: 网络安全
    云数据库 GAUSSDB 网络安全
  • 虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:约束与限制
    约束与限制 VPC对等连接只能实现同区域VPC的网络互通,因此请确保您的VPC位于同一个区域内。 需要通过VPC对等连接通信的VPC的子网网段不能重叠,否则对等连接不会生效,更多详情请参见无效的VPC对等连接配置。 第三方防火墙部署的E CS 所在的子网需要关联自定义路由表 ,请确保您资源所在的区域支持自定义路由表功能。 如果在网络控制台的左侧子栏目看到独立的“路由表”选项,表示支持自定义路由表功能。 图2 支持定义路路由
    虚拟私有云 VPC VPC网络安全
  • 虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:组网规划说明
    组网规划说明 本示例中需要在VPC路由表中配置路由,实现VPC之间的互通以及通过防火墙的流量清洗、组网规划总体说明请参见表5。 以下路由规划详情仅为示例,供您参考,您需要根据实际业务情况规划路由。 表5 云上VPC互访使用第三方防火墙组网规划总体说明 路由表 说明 业务所在VPC vpc-A、vpc-B、vpc-C为业务VPC,路由表的规划详情如表6所示。 在vpc-A、vpc-B、vpc-C的默认路由表中,分别添加指向其他VPC子网,下一跳为对等连接的路由,实现不同VPC之间的网络互通。 防火墙所在VPC vpc-X为防火墙VPC,路由表的规划详情如表7所示。 在vpc-X的默认路由表中,根据您防火墙部署方案分为以下情况: 防火墙部署在一台ECS上,则添加目的地址为默认网段(0.0.0.0/0),下一跳为ecs-X01的路由,将流量引入防火墙所在的云服务器。 防火墙部署在两台ECS上,对外通过同一个虚拟IP通信,当主ECS发生故障无法对外提供服务时,动态将虚拟IP切换到备ECS,继续对外提供服务。此场景下,则添加目的地址为默认网段(0.0.0.0/0),下一跳为虚拟IP的路由,将流量进入虚拟IP,由虚拟IP将流量引入防火墙所在的云服务器。 本文以防火墙部署在一台ECS上为例,vpc-A、vpc-B、vpc-C互访的流量,都需要经过vpc-X,然后通过该条路由,将流量引入防火墙中进行清洗过滤。 在vpc-X的自定义路由表中,添加目的地址为业务VPC子网网段(vpc-A、vpc-B、vpc-C子网),下一跳为对等连接的路由,将清洗后的流量引入业务VPC。 表6 业务VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-A 默认路由表:rtb-vpc-A 10.2.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-A01和subnet-C01 192.168.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-A01和subnet-X01 vpc-B 默认路由表:rtb-vpc-B 10.1.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-B01和subnet-X01 vpc-C 默认路由表:rtb-vpc-C 10.1.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-C01 10.2.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-C01和subnet-X01 表7 防火墙VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-X 默认路由表:rtb-vpc-X 0.0.0.0/0 服务器实例 ECS-X 自定义 目的地址指向部署防火墙的ecs-X 将vpc-X入方向的流量引入防火墙 本文以防火墙部署在一台ECS上为例,如果您的防火墙同时部署在多台ECS上,对外通过虚拟IP通信,则路由下一跳选择虚拟IP。 自定义路由表:rtb-vpc-custom-X 10.1.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-X01 10.2.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-X01 10.3.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-C01和subnet-X01
    虚拟私有云 VPC VPC网络安全
  • 虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:方案架构
    方案架构 本示例中vpc-A、vpc-B、vpc-C为业务所在的VPC,vpc-X为防火墙所在的VPC,这些VPC通过对等连接实现网络互通。vpc-A、vpc-B、vpc-C之间互通的流量均需要经过vpc-X上的防火墙。根据默认路由表配置,所有vpc-X的入方向流量均引入防火墙,通过防火墙清洗后的流量根据自定义路由表的目的地址送往指定业务VPC。 在图1中,以ecs-A01访问ecs-C01为例,您可以清晰的看到流量的请求路径和响应路径。 图1 云上VPC互访使用第三方防火墙组网规划
    虚拟私有云 VPC VPC网络安全
  • 虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:资源规划说明
    资源规划说明 本示例中需要创建 虚拟私有云VPC 、弹性 云服务器ECS 以及VPC对等连接,资源规划总体说明请参见表1。 以下资源规划详情仅为示例,供您参考,您需要根据实际业务情况规划资源。 表1 云上VPC互访使用第三方防火墙资源规划总体说明 资源 说明 虚拟私有云VPC VPC的资源规划详情如表2所示。 本示例中共有4个VPC,包括业务所在VPC和防火墙所在的VPC。这些VPC位于同一个区域内,且这些VPC的子网网段不重叠。 vpc-A、vpc-B、vpc-C为业务VPC,vpc-X为防火墙VPC,这些VPC通过对等连接实现网络互通。 vpc-A、vpc-B、vpc-C、vpc-X各有一个子网。 vpc-A、vpc-B、vpc-C各有一个默认路由表,子网关联VPC默认路由表。 vpc-X有两个路由表,一个系统自带的默认路由表,一个用户创建的自定义路由表,vpc-X的子网关联自定义路由表。 默认路由表控制vpc-X的入方向流量,自定义路由表控制vpc-X的出方向流量。 须知: 需要通过对等连接通信的VPC的子网网段不能重叠,否则对等连接不会生效,更多详情请参见无效的VPC对等连接配置。 弹性云服务器ECS ECS的资源规划详情如表3所示。 本示例中共有4个ECS,这些ECS分别位于不同的VPC内,这些ECS如果位于不同的安全组,需要在安全组中添加规则放通对端安全组的网络。 VPC对等连接 VPC对等连接的资源规划详情如表4所示。 本示例中共3个对等连接,网络连通需求如下: peer-AX:连通vpc-A和vpc-X的网络。 peer-BX:连通vpc-B和vpc-X的网络。 peer-CX:连通vpc-C和vpc-X的网络。 由于VPC对等连接具有传递性,通过路由配置,vpc-A、vpc-B以及vpc-C之间可以通过vpc-X进行网络通信。 表2 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 子网作用 vpc-A 10.1.0.0/16 subnet-A01 10.1.0.0/24 默认路由表 部署业务的子网 vpc-B 10.2.0.0/16 subnet-B01 10.2.0.0/24 默认路由表 部署业务的子网 vpc-C 10.3.0.0/16 subnet-C01 10.3.0.0/24 默认路由表 部署业务的子网 vpc-X 192.168.0.0/16 subnet-X01 192.168.0.0/24 自定义路由表 部署防火墙的子网 表3 ECS资源规划详情 ECS名称 VPC名称 子网名称 私有IP地址 镜像 安全组 ECS作用 ecs-A01 vpc-A subnet-A01 10.1.0.139 公共镜像: CentOS 8.2 64bit sg-demo: 通用Web服务器 部署业务的云服务器 ecs-B01 vpc-B subnet-B01 10.2.0.93 部署业务的云服务器 ecs-C01 vpc-C subnet-C01 10.3.0.220 部署业务的云服务器 ecs-X01 vpc-X subnet-X01 192.168.0.5 部署防火墙的云服务器 表4 VPC对等连接资源规划详情 VPC对等连接名称 本端VPC 对端VPC peer-AX vpc-A vpc-X peer-BX vpc-B vpc-X peer-CX vpc-C vpc-X
    虚拟私有云 VPC VPC网络安全
  • 云数据库 RDS-使用数据安全服务DBSS(建议):优势
    优势 助力企业满足等保合规要求。 满足等保测评数据库审计需求。 满足国内外安全法案合规需求,提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告。 支持备份和恢复数据库审计日志,满足审计数据保存期限要求。 支持风险分布、会话统计、会话分布、SQL分布的实时监控能力。 提供风险行为和攻击行为实时告警能力,及时响应数据库攻击。 帮助您对内部违规和不正当操作进行定位追责,保障数据资产安全。 数据库安全审计采用数据库旁路部署方式,在不影响用户业务的提前下,可以对数据库进行灵活的审计。 基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。 提供审计报表模板库,可以生成日报、周报或月报审计报表(可设置报表生成频率)。同时,支持发送报表生成的实时告警通知,帮助您及时获取审计报表。
    云数据库 RDS 账号与网络安全
  • 华为乾坤-查看安全防护大屏:背景信息
    背景信息 安全防护大屏展示了安全识别与检测、安全响应与恢复和最近事件三块内容,包括失陷类型TOP5、 威胁检测 类型TOP5、威胁事件、系统健康状态、威胁判定平均时长、威胁综合阻断率、抵御攻击类型数、威胁IP封禁趋势、最近事件等基础功能模块。 安全防护大屏根据用户开通的边界防护与响应服务套餐类别,提供差异化的功能模块选择。基础功能模块适用于开通任一套餐的用户;标注了“专业版”标签的功能模块,仅适用于开通专业版套餐的用户。功能模块套餐匹配及数据呈现,请参见表1。 图1 安全防护大屏
    华为乾坤 查看网络安全状态
  • 云数据库 RDS-如何确认RDS for MySQL实例SSL证书的有效期
    如何确认RDS for MySQ L实例 SSL证书的有效期 如果您正在使用SSL连接RDS for MySQL,执行如下命令查看证书有效期起止时间,判断证书是否到期。 show status like '%ssl_server%'; 在证书到期前请及时更新根证书为最新版本: 在RDS“实例管理”页面,单击实例名称进入“概览”页面,单击“SSL”处的“下载”,下载新的根证书文件或根证书捆绑包。 重启实例以使新的根证书生效。 使用新的根证书文件或根证书捆绑包连接实例。 通过内网连接RDS for MySQL实例 通过公网连接RDS for MySQL实例 用户证书即将到期时要及时更换正规机构颁发的证书,提高系统安全性。 父主题: 网络安全
    云数据库 RDS 网络安全
  • 云数据库 GAUSSDB(FOR MYSQL)_云数据库 GAUSSDB(FOR MYSQL)标准版-如何防止任意源连接GaussDB(for MySQL)标准版数据库
    如何防止任意源连接GaussDB(for MySQL)标准版数据库 数据库开放EIP后,如果公网上的恶意人员获取到您的EIP DNS和数据库端口,那么便可尝试破解您的数据库并进行进一步破坏。因此,强烈建议您保护好EIP DNS、数据库端口、数据库账号和密码等信息,并通过GaussDB(for MySQL)标准版实例的安全组限定源IP,保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码,请按照GaussDB(for MySQL)标准版实例的密码策略设置足够复杂度密码,并定期修改。 父主题: 网络安全
    云数据库 GAUSSDB(FOR MYSQL)_云数据库 GAUSSDB(FOR MYSQL)标准版 网络安全
  • 文档数据库服务 DDS-为什么在虚拟私有云中使用文档数据库
    为什么在虚拟私有云中使用文档数据库 虚拟私有云允许您在私有、隔离的网络创建虚拟网络环境,从中可以对私有IP地址范围、子网、路由表和网络网关等方面进行控制。借助虚拟私有云,您可以定义虚拟网络拓扑和网络配置,使其非常类似于您在自己的数据中心所操作的传统IP网络。 在下面的情况下您可能想在虚拟私有云中使用文档数据库服务: 您希望运行面向公众的Web应用程序,同时保留公众不可访问的后端服务器。您可以在一个虚拟私有云内同时创建一个文档数据库实例和弹性云服务器实例,同时为弹性云服务器实例分配公网IP,将Web服务器部署在弹性云服务器实例。 父主题: 网络安全
    文档数据库服务 DDS 网络安全
  • 云数据库 GAUSSDB(FOR MYSQL)-将根证书导入Windows/Linux操作系统:导入Windows操作系统
    导入Windows操作系统 单击“开始”,运行框输入“MMC”,回车。 在MMC控制台菜单栏中单击“文件”,选择“添加/删除管理单元”。 在“添加或删除管理单元”对话框,选择“可用管理单元”区域的“证书”。单击“添加”添加证书。 在“证书管理”对话框,选择“计算机账户”,单击“下一步”。 在“选择计算机”对话框,单击“完成”。 在“添加或删除管理单元”对话框,单击“确定”。 在MMC控制台,双击“证书”。 右键单击“受信任的根证书颁发机构”,选择“所有任务”,单击“导入”。 单击“下一步”。 单击“浏览”,将文件类型更改为“所有文件 (*.*)”。 找到下载的根证书ca.pem文件,单击“打开”,然后在向导中单击“下一步”。 您必须在浏览窗口中将文件类型更改为“所有文件 (*.*)”才能执行此操作,因为“.pem”不是标准证书扩展名。 单击“下一步”。 单击“完成”。 单击“确定”,完成根证书导入。
    云数据库 GAUSSDB(FOR MYSQL) 网络安全
  • 云架构中心-SEC04-02 控制网络流量的访问
    SEC04-02 控制网络流量的访问 控制网络流量以确保网络分区之间的流量是可预期的、允许的。依据零信任原则,需在网络级别验证所有的流量出入。确保网络设备的业务能力、网络每个部分的带宽满足业务高峰期的需要。 风险等级 高 关键策略 在设计网络拓扑时,仔细检查每个组件的连接要求,例如是否需要互联网可访问性(入站和出站)、连接到VPC的能力、边缘服务和外部数据中心等。除非资源必须接收来自公网的网络流量,否则不要将资源放置在VPC的公有子网中。 对于入站和出站流量,应采用深度防御方法。例如对入站流量进行入侵检测、防范恶意的网络攻击。对出站的流量使用NAT网关配置仅出站的单向连接。 流量过滤。使用防火墙、ACL控制内部和外部网络之间的访问流量以及内部网络中敏感区域的输入及输出流量,并对所有网络流量进行检查,阻止与已制定安全标准不相符的流量,以避免系统组件受到来自不可信网络的非授权访问。 使用应用负载均衡时,七层负载均衡更换为安全的证书。 启用VPC流量日志。VPC流日志功能可以记录虚拟私有云中的流量信息,帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。关于安全日志更多见:SEC09-01 实施标准化管理日志 相关云服务和工具 VPC、VPCEP 企业路由器 ER 云连接 CC 云防火墙 CFW:提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 WAF:保护网站等Web应用程序免受常见Web攻击,保障业务持续稳定运行,满足合规和监管要求。 AAD:华为云DDoS防护提供全球化服务,以应对DDoS攻击挑战,可提供毫秒级攻击响应、多维度行为分析及机器学习、防御策略自动调优,精确识别各种复杂DDoS攻击,以保护您的业务连续性。用Anti-DDoS流量清洗服务提升带宽利用率。Anti-DDoS为弹性公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知,提升用户带宽利用率,确保用户业务稳定运行。 NAT网关:NAT网关位于互联网与云上VPC之间,通过部署NAT网关可掩盖内部网络的IP地址,降低虚拟环境遭受攻击的风险。 ELB:对流量进行负载均衡到后端多个节点。 父主题: SEC04 网络安全
    云架构中心 SEC04 网络安全
  • 云数据库 RDS-删除RDS实例后为什么不能立即删除关联的安全组
    删除RDS实例后为什么不能立即删除关联的安全组 创建实例的时候,必须选择安全组,如果不创建安全组或没有可选的安全组,云数据库RDS服务默认为您分配安全组资源。 当删除实例后,默认会将实例加入回收站管理,回收站默认保留7天。可通过设置回收站策略修改回收站保留天数。 删除后的实例不会立即从安全组中移除,需要等回收站中保留的实例删除后,才会将关联信息从安全组中移除。删除安全组之前,必须确保安全组中没有关联任何实例,查询安全组中关联的实例,请参见如何查看安全组关联了哪些实例。 父主题: 网络安全
    云数据库 RDS 网络安全
  • 虚拟私有云 VPC-通过安全组和网络ACL实现VPC的访问控制:控制外部对子网内实例的访问
    控制外部对子网内实例的访问 网络ACL可以控制流入/流出子网的流量,流量优先匹配网络ACL的规则,然后匹配安全组规则。 本示例如图5所示,子网Subnet-A内的两个业务实例ECS-A01和ECS-A02网络互通,并允许白名单实例远程登录业务实例,白名单实例的IP地址为10.1.0.5/32。白名单实例可能是VPC-A的其他子网或者其他VPC内的实例,也可以是本地计算机,可远程连接业务实例执行运维操作。因此,网络ACL和安全组规则需要放通白名单实例的流量,拦截来自其他网络的流量,规则配置如下: 网络ACL规则: 入方向:自定义规则A01允许白名单实例,通过SSH远程登录子网Subnet-A内的实例。默认规则拒绝其他网络流量流入子网。 出方向:网络ACL是有状态的,允许入站请求的响应流量流出,因此不用额外添加规则放通白名单实例的响应流量。默认规则拒绝其他网络流量流出子网。 安全组规则: 入方向:规则A01允许白名单实例,通过SSH远程登录子网Subnet-A内的实例。规则A02允许安全组内实例互通。其他流量无法流入安全组内实例。 出方向:规则A03允许所有流量从安全组内实例流出。 图5 控制外部对子网内实例的访问
    虚拟私有云 VPC VPC网络安全
  • 虚拟私有云 VPC-通过安全组和网络ACL实现VPC的访问控制:控制不同子网内实例的互通和隔离
    控制不同子网内实例的互通和隔离 本示例中,VPC-X内有两个子网Subnet-X01和Subnet-X02,ECS-01和ECS-02属于Subnet-X01,ECS-03属于Subnet-X02。三台ECS的网络通信需求如下: ECS-02和ECS-03网络互通 ECS-01和ECS-03网络隔离 为了实现以上网络通信需求,本示例的安全组和网络ACL配置如下: 三台ECS属于同一个安全组Sg-A,在Sg-A中添加入方向和出方向规则,确保安全组内实例网络互通。 此时子网还未关联网络ACL,安全组规则配置完成后,ECS-01、ECS-02均可以和ECS-03进行通信。 将两个子网均关联至网络ACL Fw-A。 当Fw-A中只有默认规则时,同一个子网内实例网络互通,不同子网内实例网络隔离。此时ECS-01和ECS-02网络互通,ECS-01和ECS-03网络隔离、ECS-02和ECS-03网络隔离。 在网络ACL Fw-A中添加自定义规则,放通ECS-02和ECS-03之间的网络。 自定义规则A01:允许来自ECS-03的流量流入子网。 自定义规则A02:允许来自ECS-02的流量流入子网。 自定义规则A03:允许访问ECS-03的流量流出子网。 自定义规则A04:允许访问ECS-02的流量流出子网。 图6 控制不同子网内实例的互通和隔离
    虚拟私有云 VPC VPC网络安全
更多精彩内容
CDN加速 GaussDB 文字转换成语音 免费的服务器 如何创建网站 域名网站购买 私有云桌面 云主机哪个好 域名怎么备案 手机云电脑 SSL证书申请 云点播服务器 免费OCR是什么 电脑云桌面 域名备案怎么弄 语音转文字 文字图片识别 云桌面是什么 网址安全检测 网站建设搭建 国外CDN加速 SSL免费证书申请 短信批量发送 图片OCR识别 云数据库MySQL 个人域名购买 录音转文字 扫描图片识别文字 OCR图片识别 行驶证识别 虚拟电话号码 电话呼叫中心软件 怎么制作一个网站 Email注册网站 华为VNC 图像文字识别 企业网站制作 个人网站搭建 华为云计算 免费租用云托管 云桌面云服务器 ocr文字识别免费版 HTTPS证书申请 图片文字识别转换 国外域名注册商 使用免费虚拟主机 云电脑主机多少钱 鲲鹏云手机 短信验证码平台 OCR图片文字识别 SSL证书是什么 申请企业邮箱步骤 免费的企业用邮箱 云免流搭建教程 域名价格
网络安全

搜索反馈

您找到想要的内容了吗?

是的 没有

意见反馈

0/200

提交 取消

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!
为您推荐
L实例 什么是云手机 云手机游戏 智能建站系统 net域名注册 PDF文字识别OCR VPS服务器 免费服务器 OBS是什么意思 CTAN镜像下载 域名是什么