3.1.5 VPC 网络安全设计

网络安全是关键一环，涉及面非常广，包括租户安全隔离、通信安全、安全防护等。这里仅从VPC 角度出发介绍相关的网络安全设计，包括网络层面的访问控制、网络流量的加解密，以及为了实现更高级别的应用层安全所需要的流量镜像等。

1. 网络ACL 

网络ACL（Network Access Control List）是VPC 中的网络访问控制功能。用户可以自定义设置网络ACL 规则，并将网络ACL 与交换机绑定，实现对交换机中云服务器ECS 实例的流量访问控制。

子网间网络访问控制策略：网络安全设计中很重要的一点是划分网络安全边界。

在把不同业务或不同部门划分到VPC 的不同子网后，可以通过网络ACL，在不同的子网边界部署安全访问控制策略，以实现网络的安全访问控制。

网络ACL 的规则是无状态的，在设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能导致请求无法响应。

VPC 边界的网络访问控制策略：VPC 存在和外部网络互联的边界，将网络ACL 应用到对应的子网/ 交换机可以实现对互联网流量的网络访问控制，如图3-7 所示。

图3-7 VPC 边界的网络访问控制策略

比较典型的应用场景包括： 

◎黑白名单：明确拒绝或接受一些公网IP 地址的流量。

◎主动安全防护：仅放行一些特定协议和端口的流量到后端。

2. 安全组

网络ACL 是对应子网粒度的访问控制策略，而对应主机粒度的访问控制策略， 是安全组。

安全组是一种虚拟防火墙，具备状态检测和数据包过滤的功能，用于在云端划分安全域。通过配置安全组规则，可以控制安全组内ECS 实例的入流量和出流量。

安全组是有状态的。例如，在会话期内，如果连接的数据包在入方向是被允许的，则在出方向也是被允许的。

3. 流量加密

VPN 产品访问云上的数据通过IPSec 和SSL VPN 方式进行加密，负载均衡产品访问云上的数据通过HTTPS 方式进行加密。一些对安全性要求较高的行业，对于VPC 内私网数据也有加密的需求。

4. 流量镜像

在一些场景下，用户需要对流量做深层次的分析，例如详细的流量内容审计或者深入的安全趋势分析就用到了流量镜像。

流量镜像将用户想要分析的流量镜像发送到一个目的地址，此时发送的流量包含报文头和流量负载内容，如图3-8 所示。

图3-8 流量镜像