检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
VPC网络安全 通过对等连接和第三方防火墙实现多VPC互访流量清洗 通过第三方防火墙实现VPC和云下数据中心互访流量清洗
由入方向流量建立的连接,已建立的长连接将会断开。所有入方向流量立即重新建立连接,并匹配新的安全组入方向规则。 由出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有安全组规则。出方向流量新建立的连接,将会匹配新的安全组出方向规则。 对于已建立的长连接,流量断开后,不会立即建立
流量新建立的连接,将会匹配新的网络ACL出方向规则。 对于已建立的长连接,流量断开后,不会立即建立新的连接,需要超过连接跟踪的老化时间后,才会新建立连接并匹配新的规则。比如,对于已建立的ICMP协议长连接,当流量中断后,需要超过老化时间30s后,将会新建立连接并匹配新的规则,详细说明如下:
功能描述:安全组规则对应的唯一标识。 取值范围:带“-”的标准UUID格式。 description String 功能说明:安全组规则的描述信息。 取值范围:0-255个字符,不能包含“<”和“>”。 security_group_id String 功能说明:安全组规则所属的安全组ID。
功能描述:安全组规则对应的唯一标识。 取值范围:带“-”的标准UUID格式。 description String 功能说明:安全组规则的描述信息。 取值范围:0-255个字符,不能包含“<”和“>”。 security_group_id String 功能说明:安全组规则所属的安全组ID。
(VPN)通信成功,在华为云的内网上使用第三方虚拟化防火墙,使得云上云下的业务流量经过自定义的第三方防火墙,对云上的业务进行灵活的安全控制。 本文以用户同区域的多VPC与本地IDC连通为例,介绍混合云使用第三方防火墙的应用场景。 方案优势 支持用户的第三方防火墙。 用户云上云下流量经过第三方防火墙。
vpc-X有两个路由表,一个系统自带的默认路由表,一个用户创建的自定义路由表,vpc-X的子网关联自定义路由表。 默认路由表控制vpc-X的入方向流量,自定义路由表控制vpc-X的出方向流量。 须知: 需要通过对等连接通信的VPC的子网网段不能重叠,否则对等连接不会生效,更多详情请参见无效的VPC对等连接配置。
删除安全组 操作场景 当您的安全组不需要使用时,您可以参考以下操作删除不需要的安全组。 系统创建的默认安全组和您创建的自定义安全组均不收取费用。 约束与限制 系统创建的默认安全组不支持删除,默认安全组名称为default。 图1 默认安全组 当安全组已关联至其他服务实例时,比如云
向和出方向的网络流量。以图1为例,在区域A内,某客户有一个虚拟私有云VPC-A和子网Subnet-A,在子网Subnet-A中创建一个云服务器ECS-A,并为ECS-A关联一个安全组Sg-A来保护ECS-A的网络安全。 安全组Sg-A的入方向存在一条放通ICMP端口的自定义规则,因此可以通过个人PC
当安全组规则设置不满足需求时,您可以参考以下操作修改安全组中的规则,保证云服务器等实例的网络安全。您可以修改安全组规则的端口号、协议、IP地址等。 约束与限制 当您修改安全组规则前,请您务必了解该操作可能带来的影响,避免误操作造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理,当在规
所属VPC:选择ECS所在的VPC,本示例为VPC-A。 子网:选择ECS所在的VPC,本示例为Subnet-A01。 IPv6网卡:选择ECS的IPv6网卡,本示例选择ECS-A01的网卡。 步骤五:验证IPv4和IPv6网络通信情况 分别验证使用ECS-A01的IPv4地址(EIP
防护VPC和公网之间的流量:ECS通过EIP-A访问公网,从EIP-A送达公网的流量需要经过云防火墙CFW-A的清洗。 防护不同VPC之间的流量:通过ER-X连通VPC-A和VPC-B的网络,VPC之间互访的流量需要经过云防火墙CFW-B清洗。 防护VPC和云下IDC之间的流量:通过ER
相同VPC内的不同子网之间网络默认互通,网络ACL可以防护子网的网络安全,安全组防护实例的网络安全。 不同网络ACL之间网络隔离,如果两个子网关联了不同的网络ACL,则需要添加规则放通不同的网络ACL。 不同安全组之间网络隔离,实例都必须关联安全组,如果两个实例关联了不同的安全组,则需要添加规则放通不同的安全组。
当您删除安全组规则前,请您务必了解该操作可能带来的影响,避免误删除造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理,当在规则中没有明确定义允许或拒绝某条流量时,安全组一律拒绝该流量流入或者流出实例。 在入方向中,表1中的入方向规则,确保安全组内实例的内网网络互通,不建议您删除该安全组规则。
创建安全组时,可以将安全组加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。 关于创建和管理企业项目的详情,请参见《企业管理用户指南》。 default 标签 可选参数。 您可以在创建安全组的时候为安全
安全组默认拒绝所有来自外部的请求,即本安全组内的实例网络互通,外部无法访问安全组内的实例。 您需要遵循白名单原则添加安全组入方向规则,允许来自外部的特定请求访问安全组内的实例。 安全组入方向规则的源地址设置为0.0.0.0/0或::/0,表示允许或拒绝所有外部IP地址访问您的实例,如果将“2
功能说明:企业项目ID。创建安全组时,给安全组绑定企业项目ID。 取值范围:最大长度36字节,带“-”连字符的UUID格式,或者是字符串“0”。“0”表示默认企业项目。 说明: 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理用户指南》。 表4 security_group_rule对象
流入/流出安全组内实例(如ECS)的流量。 常见的安全组规则应用场景包括:允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置服务器的特定访问权限等。 使用须知 配置安全组规则前,您需要规划好安全组内实例的访问策略,常见安全组规则配置案例请参见安全组配置示例。
产品功能 VPC提供丰富的功能供您灵活配置服务,构建多元化组网,具体说明请参见表1。 VPC的基本功能:虚拟私有云、子网、路由表和路由、虚拟IP、弹性网卡、辅助弹性网卡 VPC的网络安全功能:安全组、网络ACL、IP地址组 VPC的网络连接功能:VPC对等连接 VPC的网络运维功能:VPC流日志、流量镜像
操作场景 当网络ACL规则设置不满足需求时,您可以参考以下操作修改网络ACL中的规则,保证子网内实例的网络安全。您可以修改网络ACL规则的端口、协议、IP地址等。 当您的网络ACL已关联子网时,修改操作会影响子网的网络流量走向,请您谨慎评估后再执行修改,避免对业务造成影响。 约束与限制
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
