VPC网络安全功能

网络隔离

• 华为云服务提供了隔离的虚拟私有网络环境(虚拟私有云)，用户的资源和应用与云中的其他用户之间是完全隔离的。用户可以定义对虚拟私有网络的访问控制，也可以对私有网络的内部划分不同的安全域而提高网络的安全性，如果用户希望将虚拟私有网络与现有的私有数据中心互联，还可以通过自助的VPN技术搭建安全可靠的加密网络链接；
• 华为云提供的安全特性包括VPC部分的网络安全功能：安全组、VPN；

VPC

• 虚拟私有云(VPC)是基于华为云构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户公有云中的资源的安全性，简化用户的网络部署；
• 原理概述
  • 通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。可以在VPC中定义与传统网络无差别的虚拟网络，同时提供公网IP、安全组等高级网络服务；

安全组

• 安全组用于VPC内部虚拟机之间的访问控制和外部对虚拟机的访问控制；
• 安全组是一组对虚拟机的访问规则的集合，用来对虚拟机进行隔离和访问控制。可以在管理控制台上创建安全组，并在安全组中定义各种访问规则，将虚拟机加入安全组后，即受到这些访问规则的保护；
• 原理概述
  • 安全组特性使用主机Linux操作系统自带包过滤防火墙Iptables，对进入主机操作系统的报文进行过滤。Iptables的作用在于为包过滤的实现规则，通过各种不同的规则，以来自不同源地址、目的地址以及协议特征的数据包进行处理；
• 使用安全组功能时，支持添加入方向和出方向的安全组访问规则，并可以指定具体访问协议和端口范围。出方向的安全组规则可以指定安全组虚拟机访问的目的子网或其他安全组，入方向的安全组规则可以指定访问安全组虚拟机的源子网或其他安全组；

VPN

• VPN业务用于在远端用户和VPC之间建立一条安全加密的通信隧道，使远端用户通过VPN访问VPC中的业务资源；
• 华为云支持创建IPSec类型的VPN
  • IPSec VPN用于分支机构和公司总部之间通信，为处于不同物理地域的企业提供了建立安全通信隧道的方式；
• 原理概述
  • IPSec VPN提供了一种建立和管理安全隧道的方式，通过对要传输的数据报文提供认证和加密服务来防止数据在网络内或通过公网传输时被非法查看或篡改；
  • 网关到网关的组网方式是IPSec的典型组网。