關鍵詞：網卡、安全組、安全組規則、云防火墻

<i id='wadn9'></i>

前言

熟悉云(yun)平臺的(de)(de)朋(peng)友可能(neng)都會(hui)注意到這樣一(yi)個事(shi)情：無(wu)論公有云(yun)還是私有云(yun)，創建虛(xu)擬機(ji)的(de)(de)時候(hou)都需要選(xuan)擇安全組(zu)，來對虛(xu)擬機(ji)進行安全防(fang)(fang)護；有的(de)(de)云(yun)平臺在VPC里，還能(neng)選(xuan)擇云(yun)防(fang)(fang)火墻(qiang)，云(yun)防(fang)(fang)火墻(qiang)和安全組(zu)到底(di)有什么區別？本(ben)文將(jiang)會(hui)給大家做(zuo)一(yi)個詳細(xi)介紹，剖析云(yun)防(fang)(fang)火墻(qiang)和安全組(zu)的(de)(de)異(yi)同。

1．安全組

安全組是(shi)一種虛擬(ni)防火墻，具(ju)備有狀(zhuang)態的(de)數據(ju)包(bao)過濾(lv)功能(neng)，用于設置云服務器、負載均衡、云數據(ju)庫等實例的(de)網(wang)絡(luo)訪問控制，控制實例級(ji)別的(de)出入流量，是(shi)重要的(de)網(wang)絡(luo)安全隔離手段。

安(an)(an)全(quan)(quan)組(zu)(zu)(zu)作(zuo)用于(yu)虛(xu)擬機(ji)的(de)(de)(de)(de)虛(xu)擬網(wang)卡上(shang)(shang)，給虛(xu)擬機(ji)提供三層(ceng)網(wang)絡的(de)(de)(de)(de)訪問控(kong)制，支持入方向(xiang)、出方向(xiang)的(de)(de)(de)(de)過濾；控(kong)制TCP/UDP/ICMP等協議進(jin)行(xing)有效過濾；也可(ke)(ke)以直(zhi)接匹配(pei)所有協議；可(ke)(ke)以根據數據包的(de)(de)(de)(de)源IP進(jin)行(xing)過濾。安(an)(an)全(quan)(quan)組(zu)(zu)(zu)實際上(shang)(shang)可(ke)(ke)以看成是一個分布式的(de)(de)(de)(de)訪問控(kong)制。如果需要將更(geng)多的(de)(de)(de)(de)虛(xu)擬機(ji)加(jia)入安(an)(an)全(quan)(quan)組(zu)(zu)(zu)，則可(ke)(ke)以動(dong)態(tai)在安(an)(an)全(quan)(quan)組(zu)(zu)(zu)中添加(jia)虛(xu)擬機(ji)網(wang)卡，每次規則的(de)(de)(de)(de)更(geng)新，也會(hui)動(dong)態(tai)的(de)(de)(de)(de)添加(jia)/刪除(chu)安(an)(an)全(quan)(quan)組(zu)(zu)(zu)規則，安(an)(an)全(quan)(quan)組(zu)(zu)(zu)中的(de)(de)(de)(de)所有虛(xu)擬機(ji)同步更(geng)新規則。

安(an)全(quan)(quan)(quan)組(zu)(zu)中包(bao)含了一系列的(de)訪(fang)問控制(zhi)(zhi)規(gui)則，屬(shu)于(yu)白(bai)名單(dan)機(ji)制(zhi)(zhi)，只有在白(bai)名單(dan)中的(de)數據才允許(xu)通過(guo)。安(an)全(quan)(quan)(quan)組(zu)(zu)可以加載一個(ge)或(huo)多個(ge)三層網(wang)(wang)(wang)絡，虛擬機(ji)掛載到(dao)三層網(wang)(wang)(wang)絡的(de)網(wang)(wang)(wang)卡(ka)(ka)可以加入(ru)這些安(an)全(quan)(quan)(quan)組(zu)(zu)。一個(ge)虛擬機(ji)的(de)網(wang)(wang)(wang)卡(ka)(ka)可以加入(ru)多個(ge)安(an)全(quan)(quan)(quan)組(zu)(zu), 安(an)全(quan)(quan)(quan)組(zu)(zu)的(de)規(gui)則會合(he)并(bing)(bing)在一起并(bing)(bing)應用到(dao)該網(wang)(wang)(wang)卡(ka)(ka)上；也就是(shi)(shi)說，作(zuo)用到(dao)虛擬機(ji)網(wang)(wang)(wang)卡(ka)(ka)上的(de)規(gui)則是(shi)(shi)所(suo)有安(an)全(quan)(quan)(quan)組(zu)(zu)的(de)并(bing)(bing)集。

功能特點：

• 安全組是一個邏輯上的分組，可以將同一地域內具有相同網絡安全隔離需求的云服務器、彈性網卡、云數據庫等實例加到同一個安全組內。
• 可以隨時修改安全組的規則，新規則立即生效。

2 . 云防火墻

云(yun)防火墻是一(yi)款云(yun)平臺(tai)SaaS（Software as a Service）化(hua)的(de)防火墻，可針(zhen)對云(yun)上網(wang)絡資產的(de)互聯網(wang)邊(bian)界、VPC邊(bian)界及主機(ji)邊(bian)界實(shi)現(xian)三位一(yi)體的(de)統一(yi)安全隔離管控，是業務上云(yun)的(de)第(di)一(yi)道網(wang)絡防線。

功能特點：

• 云防火墻支持應用級別的訪問控制。
• 云防火墻支持域名級別的訪問控制。
• 云防火墻提供網頁防篡改功能，集成網頁防篡改功能，Web服務器安裝防篡改客戶端后由防火墻進行管理。
• 云防火墻能夠對新爆發的流行高危漏洞進行預警和自動檢測，發現問題后支持一鍵生成防護規則。
• 云防火墻提供惡意代碼檢測，支持遠程控制木馬或者病毒等惡意軟件檢測，能對檢測到的惡意軟件行為進行深入的分析，展示外部命令控制服務的交互行為和其他可疑行為。

 3 . 總結

安全組是VM提供(gong)的(de)虛擬(ni)主(zhu)機防(fang)火(huo)墻，對VM實例間的(de)流(liu)量進行(xing)訪問控制。

云防火(huo)(huo)墻(qiang)是互聯網(wang)邊(bian)(bian)界防火(huo)(huo)墻(qiang)、VPC邊(bian)(bian)界防火(huo)(huo)墻(qiang)、主機邊(bian)(bian)界防火(huo)(huo)墻(qiang)的統稱，為您提供互聯網(wang)邊(bian)(bian)界、VPC網(wang)絡邊(bian)(bian)界、VM實例間的三重防護。

云防火墻的主機邊界防火墻底層使用了安全(quan)組的能力。

安全組(zu)和防火墻(qiang)不是(shi)兩者只(zhi)取其一的關(guan)系，他們是(shi)相輔相成(cheng)的，兩者有機結合(he)，才能(neng)夠更好的做云主機的安全防護(hu)。