Elastic Compute Service：網路安全

Virtual Private Cloud實現網路隔離

ECS通過Virtual Private Cloud實現網路隔離。專用網路是專有的雲上私人網路，您可以根據自己的需求在雲上建立多個專用網路，在專用網路中，您可以完全掌控自己的網路。專用網路提供了豐富的隔離能力：

• 在專用網路之間在邏輯上是徹底隔離的，相互之間預設無法通訊。

• 專用網路內的ECS可以通過內網進行通訊，這樣就可以減少公網的暴露。

• 每個專業網路內可以建立多個交換器，這有利於網路和網段的劃分，不同交換器之間也可以設定一些隔離。

更多資訊，請參見專用網路和交換器概述和建立和管理專用網路。

交換器實現服務隔離

建議您針對不同的業務情境通過交換器設定網段劃分，實現業務互相隔離。交換器是組成專用網路的基礎網路裝置，用來串連不同的雲資源執行個體，每個專用網路下，您可以很方便地管理多個虛擬交換器，根據自己的需求進行建立、刪除、配置虛擬交換器。交換器提供的安全能力有兩點：

• 服務隔離，可以根據服務的安全等級、服務的類型進行網站的劃分。

• 流量控制，專業網路提供了網路ACL的功能，網路ACL可以綁定到交換器上，對流經交換器的流量進行存取控制。

更多資訊，請參見專用網路和交換器概述和建立和管理交換器。

PrivateLink私網串連ECS避免公網訪問

私網串連（PrivateLink）能夠實現Virtual Private Cloud與ECS建立安全穩定的私人串連，您可以像在VPC中一樣訪問ECS，無需使用互連網網關、NAT裝置、VPN，簡化網路架構，實現私網訪問服務，改善VPC的安保狀況，避免通過非必要的公網訪問服務帶來的潛在安全風險。更多資訊，請參見什麼是私網串連。

使用網路ACL進行流量控制

ECS通過專用網路的網路ACL進行流量控制。網路ACL是專用網路中的網路存取控制功能，網路ACL可以綁定到交換器上。您可以自訂設定網路ACL規則，與交換器綁定的網路ACL規則控制流程入和流出交換器的資料流，實現對交換器中Elastic Compute Service執行個體流量的存取控制。更多資訊，請參見網路ACL概述和建立和管理網路ACL。

使用安全性群組對網卡流量進行控制

ECS通過安全性群組對網卡流量進行控制。安全性群組是一種網卡粒度的虛擬防火牆，能夠控制ECS執行個體的出入站流量。安全性群組的入方向規則控制ECS執行個體的入站流量，出方向規則控制ECS執行個體的出站流量。更多資訊，請參見安全性群組概述和安全性群組關聯資源管理。

安全性群組按照類型劃分為普通安全性群組和企業級安全性群組，兩者均免費。在安全性群組容量、能否添加授權安全性群組的規則以及預設存取控制規則等方面有一定差異，適用於不同的使用情境。更多資訊，請參見普通安全性群組與企業級安全性群組。

流日誌監控網路流量

流日誌可以記錄專用網路中彈性網卡傳入和傳出的流量資訊，協助您檢查存取控制規則，監控網路流量和排查網路故障。更多資訊，請參見流日誌。

流量鏡像檢測網路異常

流量鏡像功能可以鏡像經過彈性網卡且符合篩選條件的報文，例如您可以複製專用網路中ECS執行個體網路流量，並將複製後的網路流量轉寄給指定的彈性網卡或負載平衡CLB的裝置，該功能可以用於內容檢查、威脅監控和問題排查等情境。更多資訊，請參見流量鏡像。

DDoS防護

Elastic Compute Service預設開啟DDoS基礎防護，DDoS防護旨在DDoS流量抵達ECS主機前進行清洗，可有效防止Elastic Compute Service執行個體受到惡意程式發起的DDoS攻擊。更多資訊，請參見DDoS基礎防護。

Cloud Firewall

Cloud Firewall可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控。主機邊界防火牆可以對ECS執行個體的入流量和出流量進行存取控制，限制ECS執行個體的未授權訪問。更多資訊，請參見配置主機邊界存取控制策略。

Web Application Firewall

Web Application FirewallWAF可以對網站或者App的業務流量進行惡意特徵識別及防護，避免網站伺服器被惡意入侵導致效能異常等問題。WAF支援為ECS執行個體開啟安全防護。將ECS執行個體接入WAF後，執行個體所有的Web業務流量將被指定網關牽引到WAF進行檢測。WAF過濾Web應用攻擊後，將正常的業務流量轉寄回ECS伺服器。更多資訊，請參見將ECS執行個體接入WAF。