無影雲電腦如何確保網路安全 - Elastic Desktop Service

無影雲電腦企業版在提供公網頻寬以滿足使用者網路訪問需求的基礎上，用一系列安全手段來防止雲電腦受到來自外部環境和內部的攻擊，並提供了安全性群組管控策略和網域名稱管控策略來控制使用者的網路存取範圍，滿足辦公使用者的網路行為管控需求。

01 網路訪問

1.1 安全性群組管控策略

無影雲電腦企業版為管理員提供了安全性群組管控策略，來控制自己組織內的雲電腦的網路存取權限。安全性群組管控策略由管理員自己添加的一組安全性群組規則群組成，類似於Elastic Compute Service的安全性群組規則，可以設定規則的方向（出方向或入方向）、授權（允許或拒絕）、優先順序、協議類型、連接埠範圍、授權對象（IP地址或位址區段）和規則描述。通過不同範圍和優先順序的規則群組合，管理員可以實現只開放指定白名單管控。

您可以根據需要添加入方向或者出方向的安全性群組管控規則來進一步控制雲電腦的出入流量。樣本情境的安全性群組管控規則配置如下：

樣本情境1

預設情況下，雲電腦允許所有出方向的訪問。您可以添加以下出方向規則，實現只允許雲電腦訪問特定的IP地址：

規則1：拒絕所有出方向訪問。樣本如下：
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
出方向
拒絕
2
全部
-1/-1
0.0.0.0/0
規則2：在規則1的基礎上允許訪問特定IP地址，優先順序必須高於規則1。樣本如下：
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
出方向
允許
1
選擇適用的協議類型。
設定合適的連接埠範圍。
允許訪問的IP地址，例如：192.168.1.1/32。

樣本情境2

在企業專網環境下，您可以添加允許特定IP地址訪問的入方向規則，實現該IP地址能夠訪問雲電腦。樣本如下：

規則方向	授權	優先順序	協議類型	連接埠範圍	授權對象
入方向	允許	1	選擇適用的協議類型。	設定合適的連接埠範圍。	允許訪問的IP地址，例如：192.168.1.1/32。

樣本情境3

假設雲電腦A關聯了策略a，雲電腦B關聯了策略b。在企業專網環境下，由於雲電腦預設拒絕所有入方向的訪問，雲電腦A和雲電腦B之間無法互相訪問。您可以在策略a和策略b中添加以下入方向規則，實現雲電腦A和雲電腦B的網路互連：

在策略a中添加允許雲電腦b訪問的入方向規則。樣本如下：
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
入方向
允許
1
選擇適用的協議類型。
設定合適的連接埠範圍。
雲電腦B的IP地址。
在策略b中添加允許雲電腦a訪問的入方向規則。樣本如下：
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
入方向
允許
1
選擇適用的協議類型。
設定合適的連接埠範圍。
雲電腦A的IP地址。

預設狀態：關閉
配置責任：客戶
功能費用：免費
依賴產品：無
條件限制：
- 規則數量限制
  最多可設定200條安全性群組管控規則。
- 入方向規則的限制
  雲電腦預設允許所有出方向的訪問，入方向的訪問遵循以下原則：
  - 互連網環境下，雲電腦不支援所有入方向的訪問，即使您將安全性群組規則的入方向設定為允許，該安全性群組入方向規則仍然不生效。
  - 企業專網環境下，雲電腦預設拒絕所有入方向的訪問，但是您可以通過將安全性群組入方向規則設定為允許來允許存取符合要求的訪問請求。
參考文檔：安全性群組管控

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇營運管理 > 策略。
在策略頁面上單擊建立策略。
在建立策略頁面上按照頁面提示填寫策略名稱稱，根據需要修改策略配置，並單擊確定。
策略建立完成後，您可以在策略頁面的列表中查看建立的策略。

在安全性群組管控地區單擊添加安全性群組規則，然後在添加安全性群組規則對話方塊中完成以下配置，並單擊確定。

配置項	說明
規則方向	入方向：控制是否允許存取訪問雲電腦的請求。出方向：控制是否允許存取雲電腦訪問其他應用的請求。
授權	允許：允許存取訪問請求。拒絕：攔截訪問請求並直接丟棄資料包，不會返回任何資訊。
優先順序	優先順序的取值範圍為1~60，數值越小、優先順序越高。同類型規則之間由優先順序決定最終生效的規則。
協議類型	支援TCP、UDP、ICMP（IPv4）和GRE協議。
連接埠範圍	應用或協議開啟的連接埠。所選的協議類型為自訂TCP或者自訂UDP時，您可以設定自訂連接埠。設定連接埠時，支援輸入具體的連接埠（如：`80`）或者連接埠範圍（如：`1/80`）。更多資訊，請參見常用連接埠。
授權對象	CIDR格式的IPv4地址網段。
描述	自訂的規則描述。

1.2 網域名稱訪問管控

無影雲電腦企業版為管理員提供了網域名稱管控策略，可實現按網域名稱粒度控制自己組織內的雲電腦的網路存取權限。與安全性群組管控策略不同，網域名稱管控策略基於網域名稱和DNS規則，僅需配置每條規則的網域名稱和授權（允許或拒絕），並支援萬用字元（*），顯著降低了針對特定Web網站和服務進行管控的難度。

樣本情境：假設現有下表所示的網域名稱，按照下表配置DNS規則即可實現精細化的許可權管控。

網域名稱	樣本	存取原則	說明
次層網域	`example.com`	允許	雲電腦訪問`example.com`時，可以正常開啟網頁。
第三層網域名	`writer.examplec.com`	禁止	雲電腦訪問`writer.example.com`時，網頁顯示404。
第三層網域名	`developer.example.com`	允許	雲電腦訪問`developer.example.com`時，可以正常開啟網頁。
四級網域名稱	`image.developer.example.com`	禁止	雲電腦訪問`image.developer.example.com`時，網頁顯示404。
	`video.developer.example.com`	允許	雲電腦訪問`video.developer.example.com`和`guide.developer.example.com`時，可以正常開啟網頁。
	`guide.developer.example.com`	允許

預設狀態：關閉
配置責任：客戶
功能費用：免費
依賴產品：無
條件限制：
- 網域名稱限制
  為確保終端使用者能正常使用雲電腦，以下預留的安全網域名稱不受DNS規則的約束，即雲電腦始終允許訪問這些網域名稱。若您將這些網域名稱的存取原則設定為拒絕，則規則不會生效。
  - *.gws.aliyun
  - *.aliyun.com
  - *.alicdn.com
  - *.aliyunpds.com
  - *.aliyuncds.com
  - *.aliyuncs.com
- 作業系統限制
  網域名稱訪問管控規則只對Windows作業系統的雲電腦生效。
- 規則數量限制
  最多可設定300條DNS規則。
參考文檔：網域名稱訪問管控

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇營運管理 > 策略。
在策略頁面上單擊建立策略。
在建立策略頁面上按照頁面提示填寫策略名稱稱，根據需要修改策略配置，並單擊確定。
策略建立完成後，您可以在策略頁面的列表中查看建立的策略。

在網域名稱訪問管控（原DNS策略）地區單擊添加DNS規則，然後在添加DNS規則對話方塊中完成以下配置，並單擊確定。

配置項	說明
網域名稱	填寫需要設定DNS規則的網域名稱。每次只能添加1個網域名稱，支援使用 `*` 萬用字元。
描述	自訂的DNS規則描述。
存取原則	可選擇允許或拒絕。說明如果需要設定多條存取原則為允許的DNS規則，則必須添加一條存取原則為拒絕的DNS規則作為保底規則。有多條DNS規則時，在列表中排序越靠前的規則生效優先順序越高。您可以通過移動規則順序來調整優先順序。

02 網路邊界

2.1 辦公網路內的雲電腦互連性

雲電腦運行在隨辦公網路（原工作區）自動建立的安全性群組中，不具備外網可見的IP地址和開放連接埠。安全性群組禁用了除來自流網關的ASP協議串連以外的所有外部流量，確保外來的網路攻擊無法到達雲電腦。無影雲電腦企業版的這一基本安全機制無法通過任何方式篡改。

按照安全性群組的預設策略，雲電腦之間也不能互相訪問，從而杜絕了惡意的雲電腦使用者從自己的雲電腦攻擊其他雲電腦、或者被感染和攻陷的雲電腦通過內部網路感染其他雲電腦的可能性。管理員可以根據業務需要開放自己的辦公網路內雲電腦之間的網路存取權限，此時可以藉助額外的網路管控策略來防範由此帶來的安全風險。

預設狀態：關閉
配置責任：客戶
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：開啟辦公網路內雲電腦網路互連

配置或使用方法

同一個辦公網路內的雲電腦之間預設無法互相訪問，如需實現網路互連，可以在辦公網路詳情頁開啟辦公網路內雲電腦互連功能。

在左側導覽列，選擇網路與儲存 > 辦公網路。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上，單擊目標辦公網路的辦公網路ID。
在辦公網路詳情頁的網路資訊地區，開啟辦公網路內雲電腦互連開關。