检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
系统默认安全组规则是入方向访问受限,请确认区域内互访资源的安全组出方向、入方向规则配置正确,保证跨区域通信正常。 检查路由信息。 在香港VPC实例中,应该包括目的网段为10.0.1.0/24和10.0.2.0/24两条路由信息。
图1 VPN连接配置 配置VPN安全策略。 选择“配置 > 攻击防范 > ACL > 高级ACL”,高级ACL填写完毕后单击“添加”,关键参数配置如图 高级ACL规则配置所示。 图2 高级ACL规则配置 配置业务路由。
配置IPsec安全框架。
如果您有多台ECS,并且这些ECS位于不同的安全组,需要在安全组中添加规则放通网络。
配置IPsec安全框架。
172.16.0.0/16 隧道类型 SSL协议是一种传输层安全协议,用于构建客户端和服务端之间的安全通道。 OpenVPN(SSL),不支持修改。 OpenVPN(SSL) 认证信息 服务端证书 服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。
策略以API接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。 如果您要允许或是禁止某个接口的操作权限,请使用策略。
对端网关必须支持IPsec Tunnel接口,并使能对应的安全策略。 静态路由模式连接开启NQA(Network Quality Analysis,网络质量分析)时,对端网关的IPsec Tunnel接口必须配置IP地址,并响应ICMP请求。
请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。 操作步骤 登录管理控制台。
说明: 为保障账号安全,建议用户定期修改密码。 确认密码 同“密码”设置参数保持一致。 所属用户组 选择所属用户组。 说明: 用户未加入用户组,将不能访问云上资源。 所选用户组未配置访问策略,将不能访问云上资源。 是否指定客户端IP 选择“是否指定客户端IP”的开关。
取值范围: main:主模式,协商过程安全性高。 aggressive:野蛮模式,协商快速且协商成功率高。 authentication_algorithm String 功能说明:认证算法。
加密算法:AES-128 认证算法:SHA2-256 报文封装模式:Tunnel 安全协议:ESP PFS:DH-GROUP14 IPsec sa Lifetime:3600 s IPsec sa Lifetime:1843200 KB 认证算法 PFS IPsec sa Lifetime
商用 配置对端设备 3 pfs disable 华为云默认开启IKE二阶段协商pfs功能,同时也建议用户侧网关设备开启该功能,以提升密钥的安全性。 同时,由于部分设备厂商默认是关闭pfs的,因此华为云VPN相应的提供关闭功能。
取值范围: main:主模式,协商过程安全性高。 aggressive:野蛮模式,协商快速且协商成功率高。 authentication_algorithm String 功能说明:认证算法。
密码复杂度不满足安全要求。 请重新修改密码提高复杂度。 400 VPN.1309 The password cannot be the username or the reverse of the username. 密码不能与用户名或倒序的用户名相同。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
