主机边界防火墙(ECS实例间)访问控制的策略组分为普通策略组和企业策略组。
- 普通策略组对应于ECS的普通安全组,是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置策略组策略,允许或拒绝策略组内的ECS实例的入流量、出流量。
- 企业策略组对应于ECS的企业安全组,是一种全新的策略组类型,相比原有的普通策略组,大幅提升了组内容纳实例数量,不再限制组内私网IP数量,规则配置方式更加简洁便于维护,适用于对整体规模和运维效率有较高需求的企业级用户。
下表描述了普通策略组和企业策略组的功能差异。
| 功能 | 普通策略组 | 企业策略组 |
|---|---|---|
| 支持专有网络VPC | 是 | 是 |
| 支持设置规则优先级 | 是 | 否 |
| 支持授权给其他策略组 | 是 | 否 |
| 支持手动设置允许访问的策略 | 是 | 是 |
| 支持手动设置拒绝访问的策略 | 是 | 否,企业策略组默认拒绝任何访问请求。 |
| 能容纳的私网IP地址数量 | 2000 | 65536 |
| 默认支持同一个策略组内ECS实例互通 | 否,需要在该策略组中创建允许的策略。 | 否,需要在该策略组中创建允许的策略。 |