本文详细介绍了云环境中的安全组和防火墙,它们的区别在于安全组作用于虚拟机网卡,支持白名单机制,而防火墙在VPC路由器上,提供更细粒度的控制。防火墙作为VPC入口,负责南北向流量控制,安全组则处理东西向流量。两者互为补充,共同保障云主机安全。
前言
熟悉云平台的朋友可能都会注意到这样一个事情:无论公有云还是私有云,创建虚拟机的时候都需要选择安全组,来对虚拟机进行安全防护;有的云平台在VPC里,还能选择防火墙,ZStack在3.6版本也发布了VPC防火墙功能。可能有的朋友会有疑惑,防火墙和安全组到底有什么区别?有了安全组,是否可以不需要防火墙了?他们是相互替代关系吗?本文将会给大家做一个详细介绍,剖析防火墙和安全组的异同以及各自的应用场景。
1.安全组
安全组在网络服务中,在管理界面上选择网络服务->安全组,到安全组的配置界面进行安全组配置。
输入安全组名称,然后选择网络、配置规则、加载虚拟机网卡。
安全组作用于虚拟机的虚拟网卡上,给虚拟机提供三层网络的访问控制,支持入方向、出方向的过滤;控制TCP/UDP/ICMP等协议进行有效过滤;也可以直接匹配所有协议;可以根据数据包的源IP进行过滤。安全组实际上可以看成是一个分布式的访问控制,扁平网络和VPC网络均支持安全组。如果需要将更多的虚拟机加入安全组,则可以动态在安全组中添加虚拟机网卡,每次规则的更新,也会动态的添加/删除安全组规则,安全组中的所有虚拟机同步更新规则。
安全组中包含了一系列的访问控制规则,属于白名单机制,只有在白名单中的数据才允许通过。安全组可以加载一个或多个三层网络,虚拟机挂载到三层网络的网卡可以加入这些安全组。一个虚拟机的网卡可以加入多个安全组, 安全组的规则会合并在一起并应用到该网卡上;也就是说,作用到虚拟机网卡上的规则是所有安全组的并集。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
