【ECS】提高ECS執行個體的安全性

背景資訊

如果ECS執行個體沒有設定安全防護，可能會帶來許多不良的影響。例如：

• 受到DDoS攻擊而導緻業務中斷。
• 受到Web入侵而導緻網頁被篡改、挂馬。
• 被注入而導緻資訊和資料洩漏等，影響ECS的使用，使其無法正常提供服務。

您可以通過本文中的方式提高ECS執行個體的安全性。

設定安全組

安全組是一種虛拟防火牆，具備狀态檢測包過濾功能。設定安全組的作用如下：

• 設定單台或多台雲伺服器的網絡通路控制。安全組規則可以允許或者禁止與安全組相關聯的ECS執行個體的公網和内網的入出方向的通路。
• 如果沒有正确設定安全組或者安全組規則過于開放，則降低了通路的限制級别，存在安全隐患。

完成以下操作，為ECS執行個體所在安全組添加安全組規則：

1. 登入 ECS管理控制台 。
2. 在左側導航欄，單擊網絡與安全 > 安全組。
3. 在頂部菜單欄左上角處，選擇地域。
4. 找到要配置授權規則的安全組，在操作列中，單擊配置規則。
5. 選擇入方向頁簽。此處以專有雲網絡的安全組為例，如果是經典網絡的安全組請選擇公網入方向。
6. 單擊手動添加。
7. 在彈出的對話框中，設定參數。

例如：隻允許特定IP遠端登入到ECS執行個體，隻需要在公網入方向配置規則即可。以Linux伺服器為例，設定隻讓特定IP通路22端口。

1. 2. 添加一條公網入方向安全組規則。規則内容如下：

• • • 授權政策選擇允許。
    • 協定類型選擇自定義 TCP。
    • 端口範圍設定為22/22。
    • 授權對象設定為允許遠端連接配接的IP位址段，格式為x.x.x.x/xx，即IP位址/子網路遮罩。本示例中的位址段為10.x.x.x/32。優先級為1。

1. 1. 單擊儲存。
   2. 重複以上步驟，再添加一條公網入方向安全組規則。規則内容如下：

• • • 授權政策選擇拒絕。
    • 授權對象設定為0.0.0.0/0。優先級為2。

設定安全組規則後，可以實作以下效果：

• 來自IP位址10.x.x.x通路22端口優先執行優先級為1的允許規則。
• 來自其他IP通路22端口優先執行優先級為2的拒絕規則。

開啟DDoS基礎防護服務

DDoS（Distributed Denial of Service，即分布式拒絕服務）攻擊指借助于客戶/伺服器技術，聯合多個計算機作為攻擊平台，對一個或多個目标發動攻擊，成倍地提高拒絕服務攻擊的威力，影響業務和應用對使用者提供服務。

阿裡雲雲盾可以防護SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻擊等3到7層DDoS的攻擊。DDoS基礎防護免費提供高達5GB的預設DDoS防護能力。ECS執行個體預設開啟DDoS基礎防護服務。使用DDoS基礎防護服務，無需采購昂貴清洗裝置，受到DDoS攻擊時不會影響通路速度，帶寬充足不會被其他使用者連帶影響，保證業務可用和穩定。ECS執行個體建立後，您可以設定清洗門檻值，具體步驟請參見

設定清洗門檻值

在此基礎上，阿裡雲推出了安全信譽防護聯盟計劃，将基于安全信譽分進一步提升DDoS防護能力，您可獲得高達100GB以上的免費DDoS防護資源。您可以在雲盾DDoS基礎防護控制台中檢視您賬号目前的安全信譽分以及安全信譽詳情和評分依據。詳情請參見

安全信譽防護聯盟

接入雲安全中心

雲安全中心是一個實時識别、分析、預警安全威脅的統一安全管理系統，通過防勒索、防病毒、防篡改、合規檢查等安全能力，實作威脅檢測、響應、溯源的自動化安全營運閉環，保護雲上資産和本地主機并滿足監管合規要求。

Agent插件是雲安全中心提供的本地安全插件，您必須在要防護的伺服器上安裝該插件才能使用雲安全中心的服務。如何安裝Agent插件，請參見

安裝Agent

說明 在購買ECS執行個體時，選擇安全加強即可自動安裝Agent并開通雲安全中心基礎版，無需您手動安裝Agent。

雲安全中心自動為您開通基礎版功能。基礎版僅提供主機異常登入檢測、漏洞檢測、雲産品安全配置項檢測，如需更多進階威脅檢測、漏洞修複、病毒清除等功能，請登入

雲安全中心控制台

接入Web應用防火牆

雲盾Web應用防火牆（Web Application Firewall，簡稱WAF）基于雲安全大資料能力實作，通過防禦SQL注入、XSS跨站腳本、常見Web伺服器插件漏洞、木馬上傳、非授權核心資源通路等OWASP常見攻擊，過濾海量惡意CC攻擊，避免您的網站資産資料洩露，保障網站的安全與可用性。

接入Web應用防火牆的好處如下：

• 無需安裝任何軟、硬體，無需更改網站配置、代碼，它可以輕松應對各類Web應用攻擊，確定網站的Web安全與可用性。除了具有強大的Web防禦能力，還可以為指定網站做專屬防護。适用于在金融、電商、o2o、網際網路+、遊戲、政府、保險等各類網站的Web應用安全防護上。
• 如果缺少WAF，隻有前面介紹的防護措施，會存在短闆，例如在面對資料洩密、惡意CC、木馬上傳篡改網頁等攻擊的時候，不能全面地防護，可能會導緻Web入侵。

接入Web應用防火牆的具體步驟，請參見

部署WAF防護

阿裡雲為ECS執行個體的安全性提供了這麼多的安全産品保駕護航，您可以根據實際需要選擇相應的産品，加強對系統和資料的防護，減少ECS執行個體受到侵害，使其穩定、持久地運作。