輕量應用服務器提供的VPC(Virtual Private Cloud)、防火墻等網絡隔離方式,可有效提升資源間互訪時的安全性。
使用VPC內網隔離
輕量應用服務器使用阿里云自動分配的專有網絡VPC(Virtual Private Cloud)進行網絡隔離,同一賬號同一地域下,多臺輕量應用服務器默認處于同一個VPC內網環境,多服務器間的互聯互通可以通過內網實現,但與同賬號下的云服務器ECS、云數據庫等其他處于專有網絡VPC中的阿里云產品內網互不相通。例如,您不能通過VPC內網直接關聯云數據庫RDS。
您可以通過設置內網互通實現輕量應用服務器與云服務器ECS、云數據庫等其他處于專有網絡VPC中的阿里云產品之間的內網互通。具體操作,請參見管理內網互通。
使用防火墻攔截攻擊流量
輕量應用服務器集成了防火墻的功能,通過入侵檢測技術,對網絡流量進行檢測和過濾,幫助您及時發現和攔截攻擊流量。默認開放22、80、443端口,其他端口默認為關閉狀態,您可以根據實際情況自行選擇開放的端口范圍。詳細介紹,請參見管理防火墻。
防火墻只能對輕量應用服務器的入流量進行控制,出流量默認允許所有請求。
入流量:數據從輕量應用服務器外通過公網或內網傳輸至實例內產生的流量。
出流量:數據從輕量應用服務器內通過公網或內網傳輸至實例外產生的流量。
攻擊防護
防止DDoS攻擊
當用戶使用外網連接和訪問輕量應用服務器實例時,可能會遭受DDoS攻擊。輕量應用服務器提供流量清洗和黑洞處理功能,完全由系統自動觸發和結束。當輕量應用服務器安全體系認為用戶實例正在遭受DDoS攻擊時,會首先啟動流量清洗功能,如果流量清洗無法抵御攻擊或者攻擊達到黑洞閾值,則會進行黑洞處理。
該能力由輕量應用服務器默認提供,無需您手動開啟或進行任何設置。
黑洞在2.5小時后自動解除,無需您手動進行處理。
更多信息,請參見DDoS基礎防護。
建議用戶通過內網訪問輕量應用服務器實例,可以使輕量應用服務器實例免受DDoS攻擊的風險。
防止網絡入侵
輕量應用服務器支持基于云安全中心的威脅檢測能力,防止網絡入侵風險。使用該功能需要開通云安全中心。相關操作,請參見基礎安全服務。