实现安全组内网络隔离

背景介绍

安全组默认的网络连通策略是:同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。这个策略满足了绝大多数客户的需求,但也有少数客户希望能够改变安全组网络连通策略,同一个安全组内的网络是隔离的而不是互通的,这样可以大大减少安全组的数量进而降低维护和管理安全组的成本。基于这些客户的诉求,我们丰富了安全组网络连通策略,支持安全组内网络隔离。要使用此功能,您需要首先了解安全组内网络隔离的一些细节:

安全组内网络隔离的几点说明

  1. 隔离的粒度是网卡而不是ECS实例
    如果ECS实例挂载了多块网卡,这一点需要特别注意。
  2. 不会改变默认的网络连通策略
    安全组**默认的**网络连通策略仍然是同一安全组内的实例之间网络**互通**,不同安全组的实例之间默认内网不通,至少截止到目前为止这仍然是阿里云安全组的默认行为。新的功能只是为您提供了一种手段来修改网络连通策略,因此新功能不会对您既有安全组或者对您新建的安全组造成任何影响。
  3. 安全组内网络隔离优先级最低
    • 被设置为组内“隔离”的安全组,仅在安全组内没有任何用户自定义规则的情况下保证安全组内实例之间网络隔离,但用户完全可以通过添加自己的安全组规则来改变这种行为,比如在一个组内隔离的安全组内添加一个ACL,让组内的vm1和vm2可以互相访问。
    • 相反,被设置为组内互通的安全组,“互通”的优先级最高,就是说互通的安全组内实例之间一定是彼此可以互相访问的,即使你增加了Drop的ACL也不会生效。
  4. 网络隔离只限于当前组内的实例(网卡)
    假设当前安全组是G1,组内网络设置为“隔离”,vm1和vm2属于G1,vm2和vm3属于G2,G2的组内网络互通,那么默认情况下(用户没有添加自定义ACL)vm1和vm2网络不可达,但vm2和vm3之间网络可达。

为了更好的理解安全组内网络隔离的约束和限制,下面以一个典型的例子加以说明(出于便于表达的目的,都假设一个实例只有一块网卡,因此网卡隔离就等价于实例隔离),实例和实例所属的安全组的关系如下图:

安全组内网络连通策略如下:

安全组 内网连通策略 包含的实例
G1 隔离 Vm1,Vm2
G2 互通 Vm1,Vm2
G3 互通 Vm2,Vm3

这个例子中各实例间网络连通情况如下表:

实例间网络 互通/隔离 原因
Vm1-Vm2 互通 Vm1,Vm2同时属于G1和G2,G1的策略是“隔离”,G2的策略是“互通”,由于“互通”的的优先级最高,所以Vm1和Vm2彼此可以互相访问。
Vm2-Vm3 互通 Vm2和Vm3同时属于G3,而且G3的策略是“互通”,所以Vm2和Vm3默认可以通信
Vm1-Vm3 隔离 Vm1和Vm3分属不同的安全组,按照默认的网络连通策略,不同安全组的实例之间默认内网不通

修改安全组内网络连通策略API

关于此功能的API细节,请参考ModifySecurityGroupPolicy

时间: 2024-11-16 17:14:25

实现安全组内网络隔离的相关文章

ESS 控制台发布新功能:创建多可用区专有网络伸缩组、支持伸缩组内 SLB 挂载不同网络类型 ECS 实例

本文将从以下几个方面向您介绍 多可用区专有网络伸缩组功能 和 支持伸缩组内 SLB 挂载不同网络类型的 ECS 实例功能,并给出这两个功能的最佳实践,方便您快速理解并使用它们. ESS 多可用区专有网络伸缩组 ESS 支持伸缩组内 SLB 挂载不同网络类型的 ECS 实例 快速创建多可用区专有网络伸缩组 快速创建支持伸缩组内 SLB 挂载不同网络类型的 ECS 实例的伸缩组 ESS 多可用区专有网络伸缩组 原 ESS 弹性伸缩服务限定,一个专有网络伸缩组只能配置一个虚拟交换机.由于一个虚拟交换机

如何解除Win8中Modern应用网络隔离

在 Windows8 中,我们全新引入了 WinRT 平台,带给用户包含动态磁贴和沉浸式用户体验的 Modern Apps,如果您是企业用户,有公司的代理服务器环境,或者您是开发人员,相信您已经发现了在本地连接更换代理后,所有 Modern Apps 都不再能访问网络.这是由于新的 WinRT 运行时的网络隔离设计造成的. 为了实施新的安全性策略,让 WinRT 平台上的应用更加安全,Modern Apps 在使用某项功能时,必须事先由开发者声明.例如要使用网络连接,就需要声明,不仅要声明需要网

如何解除Windows 8中的Modern Apps网络隔离

  在 Windows 8 中,我们全新引入了 WinRT 平台,带给用户包含动态磁贴和沉浸式用户体验的 Modern Apps. 如果您是企业用户,有公司的代理服务器环境,或者您是开发人员,相信您已经发现了在本地连接更换代理后,所有 Modern Apps 都不再能访问网络.这是由于新的 WinRT 运行时的网络隔离设计造成的. 为了实施新的安全性策略,让 WinRT 平台上的应用更加安全,Modern Apps 在使用某项功能时,必须事先由开发者声明.例如要使用网络连接,就需要声明,不仅要声

网络隔离下几种数据交换技术的异同

一.背景 网络的物理隔离是很多网络设计者都不愿意的选择,网络上要承载专用的业务,其安全性一定要得到保障.然而网络的建设就是为了互通的,没有数据的共享,网络的作用也缩水了不少,因此网络隔离与数据交换是天生的一对矛盾,如何解决好网络的安全,又方便地实现数据的交换是很多网络安全技术人员在一直探索的. 网络要隔离的原因很多,通常说的有下面两点: 1.涉密的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的.互联网是世界级的网络,也是安全上难以控制的网络,又要连通提供公共

Win8系统Metro应用被网络隔离怎么办

  具体方法如下: 1.打开本地组策略编辑器,然后在本地组策略编辑器上,展开"计算机配置"-"管理模板"-"网络",然后在打开"网络隔离"; 2.然后在Win8系统上找到"应用的Internet代理服务器",找到指定的Internet代理,可以查看到桌面IE选项连接设置和指定的LAN代理一样; 3.Win8系统内置命令行工具,可以方便 Modern Apps 开发者诊断网络,我们可以利用 Modern Ap

如何用一台电脑实现网络隔离和安全管控?

  由于工作性质的不同,很多企业是不允许员工上外网的,一旦有需求上网查找资料,必须要在指定的网域通过专门的电脑进行查询和下载.这样表面看是保障了内部网络的安全性,防止内部信息泄漏到外网,但从实际操作过程来看,管理复杂,效率低,资源不能合理利用,给员工工作带来很多不便. 还有一些单位,为了保障内部信息的安全,采用虚拟化的方式,将所有文件存储在远端服务器上,也就是传说中的"云端",本地不保存文件,投入了巨资建设这套虚拟化系统,但往往由于网络带宽资源和后续维护不到位,导致更多的麻烦出现. 研

VLAN技术之基于第二层的网络隔离

VLAN技术将网络划分成虚拟局域网,这也是为了隔离网络广播, 但是,在 同一VLAN内的PC,仍然处在一个广播域中,也就是说,同一VLAN内各PC之间的通信不受限制.这时,可以使用基于MAC地址的 访问控制列表,在每个端口做第二层过滤.命令 如下(神州数码S3926交换机配置命令):全局模式下创建访问列表1100:access-list1100permit[Sourcemac][Sourcemac-wildcardbits][Destinationmac][Dourcemac-wildcardb

azure-同一个CloudService里的部署,它们之间能做网络隔离么? 谢谢啦!!!

问题描述 同一个CloudService里的部署,它们之间能做网络隔离么? 谢谢啦!!! 大家好!!! 同一个CloudService里的部署,它们之间能做网络隔离么? 谢谢啦!!! 解决方案 感觉应该是不行的吧,使用的事同一个网络地址啊 解决方案二: 你好, 首先不确定您所说的网络隔离是指哪种隔离,是指同一个CloudService里面部署的vm 之间不能进行访问么? 如果是vm 之间,部署在同一CloudService里,如果不是在同一网段内,默认是不能进行通讯的,必须位于同一子网内才可能p

Excel2016如何使用RANK函数实现组内排名

  单张工作表中的数据排名好说,但若在多张工作表之间进行数据排名,在不进行工作表合并的情况下如何实现? 某小团体举办跳远.百米.铅球三项运动会,分3组进行,组内要排名并设有奖项;团体内还要进行3个组的全员排名,也设有奖项.3个组的成绩分列于一组.二组.三组3张表中. 组内排名分别在各自的表中进行,容易实现.但跨组的全员排名会涉及到3张表中的数据,不是靠一张表就能完成的.那么,在不合并表格的情况下,如何进行全员排序?若某人成绩有变动,如何才能实现组内或全员成绩名次的联动? ● RANK函数实现组内