主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。主机边界防火墙的访问控制策略发布后,会自动同步到ECS安全组并生效。在云防火墙控制台可实现策略的统一管控安全组策略,并且无需切换ECS实例所在的地域。本文介绍如何配置主机边界防火墙。
安全组是一系列安全规则的集合,具备状态检测和数据包过滤能力,用于在云端划分安全域,是火山引擎提供的重要的网络安全隔离手段。
安全组创建后,您可以为其设置出方向、入方向规则,这些规则会对安全组内部的云服务器出/入网络流量进行控制,对于已允许的入站流量,都将自动允许其流出,反之亦然。当云服务器加入该安全组后,即受到已设置的访问规则的保护。
您可以使用以下方法来控制您的ECS实例的访问权限:
创建多个安全组,并给每个安全组指定不同的规则。
每个实例分配一个或多个安全组,ECS将按照这些规则确定:哪些流量可访问实例、实例可以访问哪些资源。
配置安全组,以便只有特定的 IP 地址或特定的安全组可以访问实例。
更多安全组信息请参见安全组概述。
登录云防火墙控制台。
进入防护配置 > 访问控制> 主机边界防火墙界面, 点击添加安全组按钮, 进入创建安全组页面。
参考下表配置安全组。
| 参数 | 说明 |
|---|---|
| 安全组名称 | 设置安全组的名称 |
| 地域选择 | 选择VPC所在的地域 |
| 所属VPC | 选择该安全组所属的私有网络。 |
| 访问控制规则 | 根据实际场景配置安全组出入方向规则,规则项说明请参见安全组概述。 |
当您创建好安全组后,可以将网卡与该安全组进行关联,使这些网卡所在云服务器实例受到安全组的保护。在主机边界防火墙界面,单击目标安全组列表右侧“详情”按钮,在“关联网卡”页签,单击“关联网卡”按钮。勾选需要关联的网卡,单击“确定”按钮,完成操作。