阿里云服务器安全组设置内网互通的方法-阿里云开发者社区

开发者社区> 阿里云小秘> 正文

阿里云服务器安全组设置内网互通的方法

简介: 虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
+关注继续查看
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅998元/3年,立即抢购>>>:9i0i.cn/aliyun

福利推荐:阿里云、腾讯云、华为云等大品牌云产品全线2折优惠活动来袭,4核8G云服务器899元/3年,新老用户共享优惠,点击这里立即抢购>>>

注意,请先到阿里云官网 领取幸运券,除了价格上有很多优惠外,还可以参与抽奖。详见:https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=wrvvs1rm&zuntop2a7uv47d&utm_source=2a7uv47d

??? 相信接触过安全组的同学肯定都知道0.0.0.0/0,这个特殊的地址段代表了所有IPV4地址,当您不能确认目标或来源地址时一般就用它来代替,例如,公网提供HTTP服务的应用就会利用0.0.0.0/0作为公网安全组入规则的来源地址。

? ? 虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。


内网安全组互通设置方法:


1. 使用IP地址授权

? ? 如果内网互联的实例数量较少,建议使用IP地址授权方式。

? ? 设置方法:在安全组列表控制台,选择想要互通的实例的安全组,点击“添加安全组规则”,“授权类型”选择“地址段访问”,在“授权对象”中填入想要互通的实例的内网IP地址,?格式例如:a.b.c.d/32

917a2c8ab2524570a4aa5d8cd595fc1606f64786

优点:安全组规则清晰,好理解。

缺点:有可能受到安全组规则条数100条的限制,实例数目发生变化时维护工作量较大。


2. 加入同一安全组

? ? 如果您的网络架构比较简单,实例中部署的业务相同,您就可以为所有的实例选择相同的安全组,绑定同一安全组的实例之间不用设置特殊规则、默认是网络互通的。


优点:安全组规则清晰。

缺点:适用于单一的应用架构,网络架构变更时需要做调整。


3. 绑定互通安全组

? ? 为需要互通的实例新添加绑定一个专门互通用的安全组,适用于较为复杂的网络架构。

? ? 设置方法:新建一个安全组,命名为“互通安全组”,不用给新建的安全组添加任何规则。将需要互通的实例都添加绑定新建的“互通安全组”,利用同一安全组的实例之间默认互通的特性,达到内网实例互通的效果。


优点:操作简单,适用于复杂网络架构。

缺点:安全组规则阅读性较差。


4. 安全组互信授权

? ? 如果您的网络架构比较复杂,各实例上部署的应用都有不同的业务角色,您就可以选择使用安全组互相授权方式。

? ? 设置方法:在安全组列表控制台,分别选择想要建立互信的实例的安全组,点击“添加安全组规则”,授权类型选择“安全组访问”

ff439562ecfcc653e3d19d76d9378805165a8654

? ? 在添加经典网络安全组内网入方向规则时,选择“授权策略”为“允许”, “授权类型”为“安全组访问”。您将会看到右侧的两个选择:“本账号授权”,“跨账号授权”,按照您的组网要求,将有互联需求的对端实例的安全组ID填入下方的授权对象中,这样就建立了安全组互信,建立安全组互信后的实例间通信就没有阻碍了。

7fa6191ef505d989504af54e1b9c9114d6c0c918


优点:安全组规则结构清晰、阅读性强、可跨账户互通

缺点:操作稍复杂


适用范围:

  • 使用IP地址授权:适用于小规模实例间内网互通场景
  • 加入同一安全组:适用于所有实例同属于单一应用架构场景
  • 绑定互通安全组:快速达到内网互通效果,适用于多层应用网络架构场景
  • 安全组互信授权:规则结构清晰,阅读性强,适合多层应用网络架构场景

推荐的0.0.0.0/0替换流程

d587c3c32e11176066f3fab85104d3ada775f959

? ? 如果安全组规则变更操作不当,可能会导致您的实例间通信受到影响,请在修改设置前备份您要操作的安全组规则,以便出现互通问题时及时恢复。


? ? 另外,安全组是实例级别防火墙,它映射了所绑定的实例在整个应用网络架构中的业务角色,所以推荐大家按照自己的应用网络架构规划防火墙。例如:常见的三层WEB应用架构就可以规划为三个安全组:1. WEB 层安全组 (开放80端口)2. APP 层安全组(开放8080端口) 3 DB层安全组 (开放3306端口)。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
iOS开发中 关于阿里云服务器的使用与安全策略 韩俊强的博客
使用背景: ??????? 云服务已经很多年了,早期没能加入使用云大军中的一员,后来后悔莫及。2015年记得当时没办法租用的虚拟主机三天两天挂了,导致我认认真真的考虑了一次,觉得还是要使用云服务器! 从免费的主机屋学习版到各种虚拟机的实验,再到之前是用300元左右买的别人的虚拟主机,空间有几G,感觉还行,正好又值他们搞活动,买两年送一年!预存还有返还!心动了,就没有任何考虑就预存了一千块! 开始的几个月感觉还行,速度什么的还过得去,就没去管网站的事了。
1421 0
九大步骤 让你通过路由器保护内网安全
  对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。   经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。
793 0
保护内网安全之Windows工作站安全基线开发(二)
本文讲的是保护内网安全之Windows工作站安全基线开发(二),保护Windows工作站免受现代的网络攻击威胁是一件非常具有挑战性的事情。 似乎每个星期攻击者们总有一些新的方法用来入侵系统并获取用户凭据。
2294 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的,?mysql的 3306,?mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建. ? have?fun! ?将编程看作是一门艺术,而不单单是个技术。
10839 0
内网安全——利用NSA Smbtouch批量检测内网
本文讲的是内网安全——利用NSA Smbtouch批量检测内网,最近,NSA渗透工具被曝光,其中包含多个Windows远程漏洞利用工具,影响很大
2439 0
+关注
阿里云小秘
从2005年起帮助客户搭建网站,有十多年网站搭建经验,长期使用并熟悉阿里云服务器、域名、云虚拟主机、云企业邮箱等产品。
289
文章
16
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载


http://www.vxiaotou.com