关键词:网卡、安全组、安全组规则、云防火墙
前言
熟悉云平台的朋友可能都会注意到这样一个事情:无论公有云还是私有云,创建虚拟机的时候都需要选择安全组,来对虚拟机进行安全防护;有的云平台在VPC里,还能选择云防火墙,云防火墙和安全组到底有什么区别?本文将会给大家做一个详细介绍,剖析云防火墙和安全组的异同。
1.安全组
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。
安全组作用于虚拟机的虚拟网卡上,给虚拟机提供三层网络的访问控制,支持入方向、出方向的过滤;控制TCP/UDP/ICMP等协议进行有效过滤;也可以直接匹配所有协议;可以根据数据包的源IP进行过滤。安全组实际上可以看成是一个分布式的访问控制。如果需要将更多的虚拟机加入安全组,则可以动态在安全组中添加虚拟机网卡,每次规则的更新,也会动态的添加/删除安全组规则,安全组中的所有虚拟机同步更新规则。
安全组中包含了一系列的访问控制规则,属于白名单机制,只有在白名单中的数据才允许通过。安全组可以加载一个或多个三层网络,虚拟机挂载到三层网络的网卡可以加入这些安全组。一个虚拟机的网卡可以加入多个安全组, 安全组的规则会合并在一起并应用到该网卡上;也就是说,作用到虚拟机网卡上的规则是所有安全组的并集。
功能特点:
- 安全组是一个逻辑上的分组,可以将同一地域内具有相同网络安全隔离需求的云服务器、弹性网卡、云数据库等实例加到同一个安全组内。
- 可以随时修改安全组的规则,新规则立即生效。
2 . 云防火墙
云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是业务上云的第一道网络防线。
功能特点:
- 云防火墙支持应用级别的访问控制。
- 云防火墙支持域名级别的访问控制。
- 云防火墙提供网页防篡改功能,集成网页防篡改功能,Web服务器安装防篡改客户端后由防火墙进行管理。
- 云防火墙能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则。
- 云防火墙提供恶意代码检测,支持远程控制木马或者病毒等恶意软件检测,能对检测到的恶意软件行为进行深入的分析,展示外部命令控制服务的交互行为和其他可疑行为。
3 . 总结
安全组是VM提供的虚拟主机防火墙,对VM实例间的流量进行访问控制。
云防火墙是互联网边界防火墙、VPC边界防火墙、主机边界防火墙的统称,为您提供互联网边界、VPC网络边界、VM实例间的三重防护。
云防火墙的主机边界防火墙底层使用了安全组的能力。
安全组和防火墙不是两者只取其一的关系,他们是相辅相成的,两者有机结合,才能够更好的做云主机的安全防护。