在某些情況下,攻擊者可能會利用IP地址欺騙技術,發送偽造源IP地址的資料包,使其看起來像是來自受信任的網路。啟用彈性網卡的源/目的檢查功能可以有效防止此類攻擊,從而提升網路安全性。
什麼是源/目的檢查
當彈性網卡的源/目的檢查功能被啟用時,該網卡將僅接收那些目標為自身IP地址的資料包,並且只允許源IP是網卡自身IP地址的資料包發送出去。相反,如果此功能關閉,則不對通過該網卡發出或接收的資料包進行IP地址驗證。
為持續提升雲端服務器的安全性與穩定性,從2025年4月22日起,此功能將逐步通過灰階發布調整為建立執行個體或網卡時預設開啟,詳細資料,請參見公告。
開啟源/目的檢查的作用
防止IP欺騙:通過驗證資料包的源IP地址與實際發送該資料包的裝置的IP地址是否匹配,來防止潛在的IP地址欺騙攻擊。如果一個資料包的源IP地址與該介面的實際裝置IP不符,則該資料包將被丟棄。
增強安全性:啟用源/目的檢查可以降低未經授權的資料轉送風險,特別是在某些情況下,您可能不希望您的伺服器充當其他服務的資料包路由點。開啟源/目的檢查後,只有針對伺服器自身產生的流量會被處理,從而防止可能的安全性漏洞。
維護網路穩定性和效率:可以避免因錯誤的路由而導致的資料流混亂問題,有助於保持整個網路系統的穩定運行,並提高網路資源利用率。
需要注意的是,僅靠源/目的檢查功能不足以防範所有類型的網路威脅。您需要根據自身業務特點和需求,結合如安全性群組配置、網路ACL、SSL/TLS加密、身分識別驗證機制、DDoS防護、備份重要資料等多種技術和策略,保護網路免受多種形式的攻擊。
支援的地區
源/目的檢查功能當前僅在部分地區開放支援,未覆蓋地區預設關閉該功能:
可能需要關閉源/目的檢查的情境
關閉源/目的檢查通常在需要進行特殊網路設定的情況下是必要的,以下是一些常見的情境:
多網卡情境:在具有多個彈性網卡的執行個體中,可能會遇到資料包從一個網路介面進入但通過另一個網路介面離開的問題(如eth1進eth0出)。如果啟用了主網卡的源/目的檢查功能,可能會影響到輔助網卡的資料流。
您可以在執行個體附加網卡後配置策略路由解決此問題。具體操作,請參見為網卡配置策略路由。
網路位址轉譯:執行個體作為網路位址轉譯(NAT)裝置時,它需要能夠接收來自網路中的其他執行個體的資料包,並且能夠將這些資料包轉寄到互連網或其他網路。這種情況下,需要關閉源/目的檢查以允許流量自由通過。
路由器:當執行個體被配置為網路路由器時,它需要處理所有經過它的流量,而不僅僅是直接發送給自己的資料包。在這種情況下,關閉源/目的檢查是必要的,以便正確轉寄資料包。
自訂負載平衡器:當伺服器充當自訂負載平衡器的角色時,它可能需要接收用戶端請求並將這些請求分發到不同的後端伺服器上。此時也需要關閉源/目的檢查,以允許這樣的流量模式。
VPN終端節點:當執行個體用作VPN伺服器時,可能需要處理來自不同網路的資料包,這也要求關閉源/目的檢查,以允許這些資料包通過。
進階網路架構:對於更複雜的網路設計,比如實施特定的流量控制規則、整合特殊的防火牆解決方案或者進行詳細的網路監控等,也可能需要關閉源/目的檢查來滿足特定需求。
設定網卡的源/目的檢查功能
建立網卡時候開啟、關閉源/目的檢查
在建立彈性網卡的時候,您可以設定開啟或關閉源/目的檢查功能。如果您確認不會涉及可能需要關閉源/目的檢查的情境,建議您開啟該功能,以提高網路安全。
隨執行個體建立網卡
您可以在購買ECS執行個體時,開啟或關閉隨執行個體建立的網卡(主網卡、輔助彈性網卡)的源/目的檢查功能。具體操作,請參見自訂購買執行個體。
部分ECS執行個體規格不支援在建立執行個體時綁定輔助彈性網卡,可以在建立執行個體後單獨綁定。更多資訊,請參見需要停止執行個體的ECS執行個體規格。
購買執行個體時,最多隻能綁定兩塊彈性網卡,一塊為主網卡(自動匹配),另一塊為輔助彈性網卡。

單獨建立網卡
您可以在單獨建立網卡時,配置網卡的源/目的檢查功能,然後將網卡綁定到執行個體上。具體操作,請參見建立並使用彈性網卡。
您也可以通過CreateNetworkInterface,在建立彈性網卡的時候,通過指定SourceDestCheck的值開啟、關閉網卡的源/目的檢查功能,true表示開啟,false表示關閉。

修改網卡的源/目的檢查
網卡建立之後,您可以通過修改網卡的屬性,開啟、關閉網卡的源/目的檢查功能。
在控制台修改
訪問ECS控制台-彈性網卡。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。

單擊目標彈性網卡的ID,進入彈性網卡詳情頁。
您可以看到源/目的檢查功能當前的狀態,並且進行設定。

通過API修改
您可以通過調用ModifyNetworkInterfaceAttribute介面,設定SourceDestCheck的值,修改指定NetworkInterfaceId的網卡的源/目的檢查功能,true表示開啟,false表示關閉。
修改成功後,您可以通過DescribeNetworkInterfaceAttribute查詢指定NetworkInterfaceId的網卡的屬性,返回參數中的SourceDestCheck表示是否開啟源/目的檢查,true表示開啟,false表示關閉。