使用虛擬私有云（VPC）實現網絡隔離

虛擬私有云（VPC）是天翼云為用戶提供的獨立隔離虛擬網絡環境，用戶可完全掌控網絡配置，是實現云上網絡安全隔離的核心基礎。VPC豐富的功能幫助您靈活管理云上網絡，包括創建子網、設置安全組和網絡ACL、管理路由表、申請彈性公網IP和帶寬等。此外，您還可以通過云專線、VPN等服務將VPC與傳統的數據中心互聯互通，靈活整合資源，構建混合云網絡。創建在VPC中的云主機可以依賴VPC的能力實現網絡隔離，主要包括：

• 每個VPC實例是一個二層隔離的網絡，VPC內部內網互通。在不采用對等連接、云間高速等方式建立VPC與外部網絡內網互通的情況下，不同VPC之間默認無法內網互通。VPC中的云主機互訪通過內網地址互通，可以實現最大化與外部網絡隔離。

• VPC內可以創建多個子網，將VPC劃分為多個網段。不同子網之間可以通過子網路由表對路由進行管理，控制流量路徑。

更多信息，請參見 虛擬私有云產品定義和創建虛擬私有云VPC。

通過子網劃分實現業務隔離

合理的子網規劃是提升網絡安全與管理效率的關鍵，通過按業務屬性、安全等級劃分子網，可實現精細化網絡管控。

子網劃分原則：按業務功能劃分。將 Web 服務、應用服務、數據庫服務分別部署在獨立子網（如 Web 子網、應用子網、數據庫子網），避免單一子網故障影響全業務。

按安全等級劃分：將核心業務（如數據庫、支付系統）部署在高安全等級子網，限制公網訪問；將邊緣服務（如負載均衡、CDN 節點）部署在低安全等級子網，作為業務對外訪問入口，降低核心業務暴露風險。

預留地址空間：子網劃分時預留 20% 左右的 IP 地址空間，為后續業務擴展與資源擴容提供支持，避免子網地址耗盡導致的網絡調整成本。

子網級管控措施：

（1）路由控制：為不同子網關聯獨立路由表，例如，數據庫子網路由表僅保留內網路由，禁止直接訪問公網；

（2）Web 子網路由表配置指向 NAT 網關的默認路由，實現公網訪問控制。

更多信息，請參見 創建子網和網絡ACL簡介。

安全組與網絡 ACL 的協同防護

安全組與網絡 ACL 作為云上網絡安全的核心防護手段，二者協同配合，形成多層次訪問控制體系：

安全組是一種網絡安全防護機制，用于防止未經授權的訪問和保護計算機網絡免受惡意攻擊。它是一種虛擬防火墻，用于限制入向和出向網絡流量。安全組工作在網絡層和傳輸層，它通過檢查數據包的源地址、目標地址、協議類型和端口號等信息來決定是否允許通過。安全組創建后，用戶可以在安全組中定義各種訪問規則，當彈性云主機加入該安全組后，即受到這些訪問規則的保護。

最小權限原則：建議安全組規則采用 “白名單” 機制，僅開放業務必需端口（如 Web 服務開放 80、443 端口），拒絕所有不必要的入方向流量。例如，數據庫實例安全組僅允許應用實例所在安全組訪問 3306 端口，禁止公網直接訪問。更多信息請參考 安全組概述

網絡ACL是一個子網級別的流量防護策略：用戶可以自定義設置網絡ACL規則，并將網絡ACL與子網綁定，實現對子網中云服務器實例流量的訪問控制。通過出方向/入方向規則控制出入子網的流量數據，可作為安全組的補充防護，在子網層面阻斷異常流量。

防御外部攻擊：可在網絡 ACL 中配置規則，攔截常見攻擊 IP 段或端口掃描行為，例如，拒絕來自已知惡意 IP 段的流量，減少實例被攻擊風險。更多信息請參考網絡ACL概述

協同防護建議：安全組與網絡 ACL 配合使用，形成 “實例 - 子網” 雙層防護。例如，Web 子網的網絡 ACL 僅允許 80、443 端口公網流量進入，Web 實例安全組進一步限制僅允許負載均衡實例 IP 訪問，雙重保障 Web 服務安全。

使用VPC終端節點精細管理主機網絡互通

VPC終端節點（VPC Endpoint），能夠將VPC私密地連接到終端節點服務（云服務、用戶私有服務），使VPC中的云資源無需彈性公網IP就能夠訪問同區域跨VPC的服務資源，為您提供更加靈活、安全的服務私網連接組網方式。更多信息，請參見 VPC終端節點產品定義。