轻量应用服务器提供的VPC(Virtual Private Cloud)、防火墙等网络隔离方式,可有效提升资源间互访时的安全性。
使用VPC内网隔离
轻量应用服务器使用阿里云自动分配的专有网络VPC(Virtual Private Cloud)进行网络隔离,同一账号同一地域下,多台轻量应用服务器默认处于同一个VPC内网环境,多服务器间的互联互通可以通过内网实现,但与同账号下的云服务器ECS、云数据库等其他处于专有网络VPC中的阿里云产品内网互不相通。例如,您不能通过VPC内网直接关联云数据库RDS。
您可以通过设置内网互通实现轻量应用服务器与云服务器ECS、云数据库等其他处于专有网络VPC中的阿里云产品之间的内网互通。具体操作,请参见管理内网互通。
使用防火墙拦截攻击流量
轻量应用服务器集成了防火墙的功能,通过入侵检测技术,对网络流量进行检测和过滤,帮助您及时发现和拦截攻击流量。默认开放22、80、443端口,其他端口默认为关闭状态,您可以根据实际情况自行选择开放的端口范围。详细介绍,请参见管理防火墙。
防火墙只能对轻量应用服务器的入流量进行控制,出流量默认允许所有请求。
入流量:数据从轻量应用服务器外通过公网或内网传输至实例内产生的流量。
出流量:数据从轻量应用服务器内通过公网或内网传输至实例外产生的流量。
攻击防护
防止DDoS攻击
当用户使用外网连接和访问轻量应用服务器实例时,可能会遭受DDoS攻击。轻量应用服务器提供流量清洗和黑洞处理功能,完全由系统自动触发和结束。当轻量应用服务器安全体系认为用户实例正在遭受DDoS攻击时,会首先启动流量清洗功能,如果流量清洗无法抵御攻击或者攻击达到黑洞阈值,则会进行黑洞处理。
该能力由轻量应用服务器默认提供,无需您手动开启或进行任何设置。
黑洞在2.5小时后自动解除,无需您手动进行处理。
更多信息,请参见DDoS基础防护。
建议用户通过内网访问轻量应用服务器实例,可以使轻量应用服务器实例免受DDoS攻击的风险。
防止网络入侵
轻量应用服务器支持基于云安全中心的威胁检测能力,防止网络入侵风险。使用该功能需要开通云安全中心。相关操作,请参见基础安全服务。
- 本页导读