基础设施安全

网络隔离

专有网络VPC是阿里云上用户自己的云上私有网络，是一个隔离的网络环境，专有网络之间逻辑上彻底隔离。

在专有网络VPC中，交换机（vSwitch）是组成专有网络的基础网络设备，用来连接不同的云资源实例。您可以创建多个交换机来划分VPC的网络空间，并可以将不同的ECS实例部署在不同的交换机中，不同交换机之间可以进行网络隔离。每个交换机都有自己的IP地址段和路由表，可以通过路由表进行访问控制。

控制网络流量

您可以使用以下方法来控制VPC中资源的网络流量：

• 当您创建VPC类型的ECS实例时，可以使用系统提供的默认安全组规则，也可以选择VPC中已有的其他安全组来控制ECS实例的出站和入站流量。安全组是一种虚拟防火墙，可以对ECS实例进行细粒度的访问控制，从而实现精细化的安全管理。此外，您还可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中ECS实例的流量的访问控制。网络ACL可以对交换机中的所有ECS实例的流量进行控制，对于需要限制流量的大规模应用非常有用。通过使用安全组和网络ACL，可以有效地保护VPC内的资源安全，提高系统的安全性和可靠性。详细信息，请参见安全组概述和网络ACL。

• IPv4网关是连接VPC和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。详细信息，请参见IPv4网关概述。

• IPv6网关是专有网络VPC的一个IPv6流量网关。您可以通过配置IPv6公网带宽和仅主动出规则，灵活定义IPv6的出流量和入流量。详细信息，请参见什么是IPv6网关。

• 您可以在VPC内创建自定义路由表，并在自定义路由表中添加自定义路由条目，然后将自定义路由表绑定至交换机来控制该交换机的流量，方便您更灵活地进行网络管理。详细信息，请参见使用自定义路由表进行网络流量管理。

• VPN网关是一种安全的网络连接方式，可以在公网环境下实现VPC和本地数据中心之间的安全连接。通过VPN网关，可以使用IPsec VPN和SSL VPN协议，实现站点到站点的安全连接和远程用户的安全接入。详细信息，请参见什么是VPN网关。

• 高速通道是一种高速、低延迟、高可靠性的网络连接方式，可以实现VPC和本地数据中心之间的高速互联。通过高速通道，可以通过一个物理专线连接多个VPC和本地数据中心，实现私有网络的互联。详细信息，请参见什么是高速通道。

• VPC对等连接是一种VPC之间的网络连接方式，可以实现VPC之间的数据传输和资源共享。通过VPC对等连接，可以在不同的VPC之间建立点对点的网络连接，实现不同VPC之间的互联和资源共享。详细信息，请参见VPC对等连接。

• 云企业网是一种多VPC互连的解决方案，可以实现企业内部多个VPC之间的网络互通。通过云企业网，可以将企业内部所有VPC互相连接起来，为您打造一张灵活、可靠、大规模的企业级云上网络。详细信息，请参见什么是云企业网。

• 网关终端节点是一个虚拟网关设备，在VPC中创建云服务的网关终端节点并指定关联的路由表，系统自动将该云服务的下一跳路由指向网关终端节点，实现对云服务的私网访问。详细信息，请参见网关终端节点。

• 使用VPC的流日志功能捕获VPC网络中弹性网卡ENI（Elastic Network Interface）的传入和传出流量信息，帮助您检查访问控制规则、监控网络流量和排查网络故障。详细信息，请参见流日志。

网络ACL与安全组

与交换机绑定的网络ACL规则控制流入和流出交换机的数据流，与ECS实例相关的安全组规则控制流入和流出ECS实例的数据流。网络ACL和安全组的基本差异如下表所示。