这是我参与8月更文挑战的第25天,活动详情查看:8月更文挑战”
NAT服务
NAT服务能够为VPC内的弹性云服务器提供SNAT和DNAT功能,通过灵活简易的配置,即可轻松构建VPC的公网出入口。
SNAT 是 Source NAT 的缩写,源 NAT(源地址转换)。内部地址要访问公网上的服务时(如Web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
DNAT 是 Destination NAT 的缩写,目的 NAT(目的地址转换)。当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。
虚拟防火墙服务
虚拟防火墙(vFW)是 VPC 的一个子网级别和VPC级别安全服务,支持按协议、源端口/端口组、目的端口/端口组、源地址/地址组、目的地址/地址组五元组匹配流量,支持放行和禁行策略,可用来控制进出一个或多个子网的流量。安全组是VPC的一个虚拟机端口级别的安全服务,支持白名单,可用来控制进出一个或多个虚拟机的流量,通过设置虚拟防火墙,为VPC 添加额外安全层,可以更加灵活的有层次进行安全管理。
| 安全组服务 | 虚拟防火墙服务 | |
|---|---|---|
| 防护对象 | 弹性云服务器级别操作 | 子网级别操作 |
| 配置策略 | 仅支持允许策略 | 支持允许、拒绝策略 |
| 优先级 | 多个规则冲突,取其并集生效 | 多个规则冲突,优先级高的规则优先生效 |
| 应用操作 | 创建弹性云服务器默认必须选择安全组,默认安全组自动应用到弹性云服务器 | 创建子网没有网络ACL选项,必须创建网络ACL、添加关联子网、添加出入规则,并启用网络ACL,才可应用到关联子网及子网下的弹性云服务器 |
| 报文组 | 支持报文三元组(即协议、端口和对端地址)过滤 | 支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤 |
