检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 责任共担 审计与日志 服务韧性 监控安全风险 认证证书
步骤6:添加安全组规则 操作场景 在目的VPC包含的云主机中添加入方向安全组规则,用于将转发到目的端的流量全部放通。 操作步骤 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 在系统首页,选择“网络 > 虚拟私有云”。 在左侧导航栏,选择“访问控制 > 安全组”。 进入安全组列表页面。
监控安全风险 云监控(Cloud Eye)服务是面向华为云资源的监控平台,提供了实时监控、及时告警、资源分组、站点监控等能力,使您全面了解云上资源的使用情况和业务的运行状况。 监控是保持NAT网关服务可靠性、可用性和性能的重要部分。通过云监控服务,可以按时间轴查看连接数、PPS、
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
审计与日志 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,CTS可记录NAT网关的操作事件用于审计。
n级多维度业务容灾能力,即使部分节点发生故障,也可以快速切换到备用集群,保证用户业务不会发生访问中断,极大地提高了服务可靠性。 父主题: 安全
基于公网NAT网关的用户网络,可以配置哪些安全策略实现访问限制? 基于公网NAT网关的用户网络,可以通过配置安全组和网络ACL实现访问限制。 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。
查询NAT网关资源标签 功能介绍 查询指定NAT网关实例的标签信息。 标签管理服务需要使用该接口查询指定NAT网关实例的全部标签数据。 接口约束 需使用VPC域名调用公网NAT标签API。 URI GET /v2.0/{project_id}/nat_gateways/{nat_gateway_id}/tags
删除NAT网关资源标签 功能介绍 删除指定NAT网关资源实例的标签信息。 接口约束 需使用VPC域名调用公网NAT标签API。 此接口为幂等接口: 删除时,不对标签做校验。删除的key不存在报404,key不能为空或者空字符串。 URI DELETE /v2.0/{project
添加公网NAT网关资源标签 功能介绍 添加公网NAT网关资源标签。一个资源上最多有10个标签。 接口约束 需使用VPC域名调用公网NAT标签API。 此接口为幂等接口: 创建时,如果创建的标签已经存在(key相同),则覆盖。 创建tag时,要求网关存在。 URI POST /v2
为指定公网NAT网关实例批量添加或删除标签。 标签管理服务需要使用该接口批量管理实例的标签。 一个资源上最多有10个标签。 接口约束 需使用VPC域名调用公网NAT标签API。 此接口为幂等接口: 创建时如果请求体中存在重复key则报错。 创建时,不允许重复key,如果数据库存在就覆盖。
私网NAT配置后组网不通怎么排查? 检查安全组规则 如果安全组没有放通弹性云服务器访问和对外提供服务使用的端口,需要在弹性云服务器对应的安全组中添加放行该端口的规则。 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 选择“计算 > 弹性云服务器”。 在弹性云服务器列表,单击待检查安全组规则的弹性云服务器名称。
DNAT规则可以配置服务器访问指定网站吗? 不可以。NAT网关不具备访问控制功能,只能根据规则转送流量。如果需要设置限制访问的网站,您可以配置安全组和ACL规则进行限制。具体请参考安全组配置示例和网络ACL配置示例。 父主题: DNAT规则
哪些端口无法访问? 出于安全因素考虑,部分运营商会对下列端口进行拦截,导致无法访问。建议避免使用下列端口: 协议 不支持端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789
若有大量的服务器需要安全、可靠,高速的访问互联网,或者为互联网提供服务,可通过公网NAT网关服务的SNAT功能或DNAT功能来实现。例如各类互联网、游戏、电商、金融等企业的跨云场景。 方案优势 通过云专线接入华为云上VPC,用户可享受高性能、低延迟、安全专用的数据网络。同时华为
P。 检查安全组规则 如果安全组没有放通弹性云服务器访问和对外提供服务使用的端口,需要在弹性云服务器实例对应的安全组中添加放行该端口的规则。 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 选择“计算 > 弹性云服务器”。 在弹性云服务器列表,单击待检查安全组规则的弹性云服务器名称。
Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。
如表1所示,包括了NAT网关的所有系统权限。 表1 NAT网关系统权限 策略名称 描述 类型 NAT FullAccess 对NAT网关全部资源的所有执行权限。 系统策略 NAT ReadOnlyAccess NAT网关只读权限,对NAT网关全部资源的只读权限。 系统策略 NAT Administrator
给用户组授权之前,请您了解用户组可以添加的NAT网关权限,并结合实际需求进行选择,NAT网关支持的系统权限,请参见:NAT网关权限。若您需要对除NAT网关之外的其它服务授权,IAM支持服务的所有策略请参见系统权限。 示例流程 图1 给用户授权NAT网关权限流程 创建用户组并授权 在IAM控制台
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
