云平台安全组及网络ACL对比
来源:互联网 发布:淘宝青少年男装 编辑:程序博客网 时间:2024/06/08 03:36
安全组和网络ACL是云平台中常见的安全控制功能。
其中安全组工作于虚拟机层面,可用于对某一特定虚拟机的出入流量进行控制,通常是有状态的。
网络ACL工作于子网层面,可以用作防火墙控制进出子网的数据流,通常无状态。
有些云平台同时提供了这两种数据安全控制功能,也有些云平台只提供了其中的一种。
1. 安全组使用流程
对于提供了VPC功能的云平台来说,用户在创建VPC时,系统通常会自动为VPC创建一个默认安全组。
用户不能删除默认安全组,但可以创建和删除自定义安全组。
用户删除VPC时,默认安全组同时被删除。
例如AWS:
腾讯云:
为用户提供了3个默认安全组,分别设置成了不同的使用场景。
华为云:
VPC默认安全组可以被删除。
不提供VPC功能的云平台也通常会为每个租户设置一个默认安全组,不可被删除。
例如Unitedstack:
青云:
也提供了相似的功能,但命名为防火墙,除了可以对出入主机的流量进行控制以外,还可以与路由器进行关联,进行流量控制。
安全组通过安全组规则来对出入流量进行控制。
默认安全组包含一组默认规则,常见的情况是使用白名单方式,对入方向流量拒绝,出方向流量放行。
有些云平台的默认安全组允许用户添加、编辑、删除规则,放行某些特定的流量。
例如AWS:
有些云平台的默认安全组不允许用户对规则进行修改。
例如腾讯云:
用户也可以自己创建安全组,并编辑规则。
阿里云:
Unitedstack:
用户在创建云主机时,可以为其选择所属的安全组,不做选择的则与默认安全组关联。
云主机与安全组的关联关系为N:N,具体数值各云平台有所不同。
有些云平台还提供了查看与某一安全组关联的云主机列表的功能。
腾讯云:
2. 网络ACL使用流程
网络访问控制列表(ACL)是一个可选安全层,可用作防火墙来控制进出一个或多个子网的流量。
网络ACL是无状态的,用户需要单独设定入站和出站规则。
有些云平台在创建VPC时提供了默认的网络ACL,新建的子网自动与默认ACL关联。
例如AWS:
用户也可以自行创建网络ACL。
例如AWS:
腾讯云:
与安全组类似,网络ACL也通过规则来对出入流量进行控制。用户可以自己创建规则。
AWS:
腾讯云:
网络ACL需要与子网关联才能生效。子网与网络ACL的关联关系为N:1。
AWS:
AWS的VPC中的每个子网都必须与一个网络ACL相关联。如果没有明确地将子网与网络ACL相关联,则子网将自动与默认网络ACL关联。用户可以使用新的自定义网络ACL来与子网关联,关联新的网络ACL将自动解除子网与之前的网络ACL的关联。
腾讯云:
3. 云平台安全组及网络ACL对比
- 云平台安全组及网络ACL对比
- warden及平台安全
- 跨平台网络通信与服务器框架(acl) 新版本发布
- 网络兼职平台,安全可靠
- 使用ACL匹配奇偶网络号及IP地址
- 云计算平台对比
- Wifi、Zigbee的对比及安全机制
- 主流大数据平台及解决方案对比
- 网络信息安全攻防学习平台
- ACL网络通信库
- 跨平台网络通信与服务器编程框架库(acl库)介绍
- 跨平台的网络通信与服务器框架库 acl 库 3.0.20版本发布
- linux安全:Linux ACL 体验
- 云平台VPN功能对比
- 云平台路由功能对比
- 云平台直播对比小结
- calico网络原理及与flannel对比
- Cisco路由器ACL安全应用—基于时间的ACL
- HTML5综述
- C语言再学习 -- 值传递,址传递,引用传递
- Hive 表
- 书籍是进步的阶梯
- 数据预处理的一些知识
- 云平台安全组及网络ACL对比
- @Resource和@Autowired两者区别
- sqlite详解
- Spring Boot 依赖注入
- Retrofit的使用
- 如何在window下运行Discriminatively Trained Deformable Part Models代码 (转)
- 利用jsplumb画流程图
- HTML 基础实践
- 【寒江雪】DirectInput介绍