【华为云技术分享】云小课 | 如何通过虚拟私有云保障服务安全

最新推荐文章于 2025-12-12 14:04:07 发布
原创 最新推荐文章于 2025-12-12 14:04:07 发布 · 75 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #华为云 #网络 #服务器 #运维

本文介绍如何使用虚拟私有云的访问控制策略保障云上服务安全,包括安全组和网络ACL的配置方法,以及如何实现仅允许访问公网和拒绝特定端口访问的场景。

当您在云上部署了自己的服务后,接下来就要考虑如何保障服务的安全性了。

比如说,绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问。

再比如说,要防止某个病毒的攻击,需要隔离具有漏洞的应用端口。

.....

这些问题统统不用担心,虚拟私有云不仅可以帮助您构建虚拟网络环境,还可以提供访问控制策略进而保障您的服务安全。

访问控制

虚拟私有云主要提供以下两种访问控制策略:

  • 安全组:基于ECS的访问控制

安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。

  • 网络ACL:基于子网的访问控制

网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。

场景一:仅允许访问公网

绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。

安全组配置:

安全组入方向:为空,不添加任何规则。

安全组出方向:放通全部协议端口,如下所示。

 方向

协议/应用

端口

目的地址

                    说明

出方向

全部

全部

0.0.0.0/0

允许所有出站流量。(默认规则)

场景二:拒绝特定端口访问

假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。

网络ACL配置

需要添加的入方向规则如下所示。

方向

动作

协议

源地址

源端口范围

目的地址

目的端口范围

              说明

入方向

拒绝

TCP

0.0.0.0/0

1-65535

0.0.0.0/0

445

拒绝所有IP地址通过TCP 445端口入站访问

今天的分享就到这里,点击了解更多,虚拟私有云等着您!

A_F_O
关注
华为云在云平台领域的混合云解决方案
AI云原生与云计算技术学院
05-27 866
在当今数字化时代,企业面临着越来越复杂的 IT 环境和业务需求。一方面,企业需要利用公有云的弹性资源、低成本和创新能力来满足业务的快速变化;另一方面,企业又担心敏感数据的安全和合规性问题,希望保留部分关键业务系统在私有云中。混合云作为一种结合公有云和私有云优势的解决方案应运而生。华为云推出混合云解决方案的目的在于帮助企业实现公有云和私有云之间的无缝集成和协同工作,为企业提供更加灵活、高效、安全的 IT 基础设施。
华为云生态和快速入门
技术栈:C++、go、python,方向:软开,测开
07-05 1671
控制台是每个用户申请和管理云服务资源的后台,通过云服务的控制台,我们能够更好地管控自己的资源。区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。Region就是一个独立的物理上的数据中心。
华为云技术分享云小 | “VPC连接”知多少
华为云官方博客
07-08 2927
摘要:华为云提供了丰富的网络服务,可满足多种网络互连场景。 同Region的两个VPC怎么连通?” “跨Region的两个VPC又怎么连通?” “VPC内的ECS搭建了一个应用,需要访问Internet,怎么弄?” “某客户的业务一部分在香港,一部分在大陆,怎么经济可靠的连接起来?” “某客户既有本地的数据中心,又想把一部分业务放到云上,怎么玩?” …… …… 网络域大家族提供了丰富的云产品,满足大家的各种网络互连需要。既有适用简单场景的单兵作战利器,也有适用复杂场景的组合...
云小 | 华为云KYON之VPC终端节点
华为云官方博客
08-26 1368
摘要:在华为云KYON(Keep Your Own Network)企业级云网络解决方案中,VPC终端节点借助VPN或者云专线,实现线下IDC内的应用无需弹性公网IP,直接通过内网访问云上服务,为企业线下业务快速迭代和上线提供更安全、更便捷的云服务支持。
华为HCCDA云技术认证--网络服务
qq_56999608的博客
11-18 1843
大家好呀!我是reload。今天继续带大家学习华为HCCDA云技术认证,涵盖华为云最为核心的计算、存储、网络、数据库、安全、部署等服务。今天学习网络服务相关内容。
828华为云征文|华为云Flexus云服务器X实例之Docker环境下部署JmalCloud个人网盘
jks212454的博客
09-02 1506
828华为云征文|华为云Flexus云服务器X实例之Docker环境下部署JmalCloud个人网盘
云小 | 华为云KYON之L2CG
华为云官方博客
05-25 2179
本文介绍KYON独创的L2CG,打通大二层网络,支持企业携带私网IP直接上云,让业务敏捷迁移,大幅降低企业上云的复杂度和成本。同时支持虚拟机粒度迁移,让企业上云过程中无需迁移整个子网。
828华为云征文|华为云Flexus云服务器X实例之openEuler系统下部署dufs文件服务器
jks212454的博客
09-15 1014
828华为云征文|华为云Flexus云服务器X实例之openEuler系统下部署dufs文件服务器
华为HCCDA云技术认证--存储服务
qq_56999608的博客
11-17 1666
大家好呀!我是reload。今天继续带大家学习华为HCCDA云技术认证,涵盖华为云最为核心的计算、存储、网络、数据库、安全、部署等服务。今天学习存储服务相关内容。
华为云技术分享】容器与虚拟化的结合:浅谈“安全容器”技术发展趋势
华为云官方博客
06-08 3003
摘要:无论公有云还是私有云厂商,都认识到了将虚拟化的隔离性和容器的高效运维特性相结合,是云原生平台发展的必然趋势。 容器是如何解决隔离问题的 众所周知,容器技术的出现有两个关键原因: 1.软件运行过程中的资源和环境的隔离。 2.软件因为运行环境多样带来的打包和配置的复杂性。 而对于软件运行环境的隔离需求,从计算机出现之初就已经开始了,多任务分时操作系统和虚拟地址的引入,都是为了解决多个任务在同一主机上运行,并且让任务本身认为自己独占机器。当然这样的隔离是远远不够的,当今软件,根据不同的层级...
基于Flexus云服务器X实例的应用场景-私有化部署自己的笔记平台
穆雄雄的博客
09-01 2149
我发现了个事儿,好多技术大牛都喜欢将自己在日常工作中遇到的问题,或者自己学习的一些技术整理成学习笔记,发布出来,一来是供自己日后遇到同样的问题后可以快速的找到;二来也是有这种乐于分享的精神,为其他人提供一些便利帮助。一般记录自己笔记的方式有好多种,比如在开源的博客平台上发布,比如优快云,博客园,51CTO博客、公众号等。另一种方式就是:自己部署一款私有化的笔记平台,文章、图片等都放在自己服务器上,对于程序员来说,数据更加安全。今天,我们就来介绍一下,如何使用华为云Flexus X实例。
华为云 Flexus 云服务器 X 实例之 Docker 环境下部署 JmalCloud 个人网盘
YJKJN的博客
01-06 1016
华为云 Flexus 云服务器 X 实例是专为中小企业和开发者设计的新一代柔性算力云服务器,以其强劲的性能和高性价比而著称。在这样的云服务器上部署 JmalCloud 个人网盘应用,不仅能够充分利用其出色的计算能力,还能享受稳定可靠的云服务体验,为个人数据存储与管理提供坚实的基础。这一实践将展示如何在 Flexus 云服务器 X 实例上高效部署与运行个人网盘应用,开启便捷、安全的数据管理新篇章。华为云Flexus云服务器X实例。
华为区域医疗私有云解决方案详解
华为区域医疗私有云方案是一套面向医疗行业、特别是区域性医疗卫生服务体系的综合性云计算解决方案,旨在通过先进的信息技术手段提升区域医疗资源的整合能力、数据共享效率以及整体医疗服务水平。该方案以“私有云”...
华为云Flexus+DeepSeek征文|基于华为云Flexus云服务快速搭建Dify-LLM应用开发平台详细教程
Shirley的博客
06-29 1137
在本次基于华为云 Flexus 云服务快速搭建 Dify-LLM 应用开发平台的实践中,我深刻领略到了华为云 Flexus 的卓越优势。其 Flexus X 实例 1.6 倍算力让关键业务应用实现 6 倍加速,极大缩短了数据处理和模型训练的时间,为高效开发提供了坚实保障。通过华为云提供的“一键部署”功能,Dify-LLM 应用开发平台的搭建变得轻松简单,即使是没有深厚技术背景的开发者也能快速上手。这种便捷性不仅提高了开发效率,还降低了技术门槛,让更多人能够投身到 AI 应用的开发中。
第十一篇:Day31-33 前端安全与性能监控——从“能用”到“安全可靠”(对标职场“系统稳定性”需求)
2402_87628679的博客
12-11 1274
对于小型项目或特定业务场景,可通过自定义埋点实现核心指标监控,无需接入复杂工具。// src/utils/monitor.js(自定义监控工具) import axios from 'axios';// 监控数据上报接口(后端提供) const MONITOR_UPLOAD_URL = '/api/monitor/upload';
安全审查--跨站请求伪造--双重提交Cookie模式
petunsecn的专栏
12-12 708
本文详细讲解了双重提交Cookie模式防御CSRF攻击的原理与实现。首先通过网上银行转账案例展示了CSRF攻击的危害性,解释了攻击者如何利用浏览器自动携带Cookie的特性发起恶意请求。随后深入剖析了双重提交Cookie的核心理念:利用同源策略,要求请求同时携带Cookie中的token和请求头/体中的token进行双重验证。 文章从零开始演示了实现步骤:1)服务器设置可被JavaScript读取的CSRF Token Cookie;2)前端获取Cookie中的token并添加到请求头;3)服务器验证两个t
DNS协议安全
weixin_61562383的博客
12-12 1012
许多企业的防火墙会拦截内部员工直接访问外部网站的 HTTP/TCP 连接,但通常会放行 DNS 流量,因为员工需要解析域名才能工作。阴影域名:黑客攻破了合法网站(如 example.com)的管理权,创建了恶意的子域名(如 bad.example.com)。DNS 协议在设计之初就像是在“明信片”上写字,任何人都可以拦截、修改(中间人攻击),或者伪造一张新的明信片发给你(欺骗/投毒)。:为了防止命令控制服务器(C&C)的域名被封杀,僵尸程序会内置一套算法,每天自动生成成千上万个随机域名。
App反诈骗:一场面向移动生态的深度安全战争(接上文短信反诈)
最新发布
xixixi7777的博客
12-12 1345
App反诈骗的最终目标是构建一个安全、可信、透明技术支柱:持续创新的检测与防御技术制度支柱:完善的法律法规与行业标准治理支柱:跨平台、跨行业的协同治理机制教育支柱:提升开发者和用户的安全意识经济支柱:建立正向激励与惩罚机制与短信反诈相比,App反诈的战场更广、链条更长、对抗更复杂。这是一场技术、法律、经济、社会的综合性战役,其成功不仅需要先进的技术手段,更需要生态系统各方的共同责任和长期投入。真正的App反诈不是简单的"查杀",而是通过纵深防御、主动狩猎、生态治理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值