在某些情况下,攻击者可能会利用IP地址欺骗技术,发送伪造源IP地址的数据包,使其看起来像是来自受信任的网络。启用弹性网卡的源/目的检查功能可以有效防止此类攻击,从而提升网络安全性。
什么是源/目的检查
当弹性网卡的源/目的检查功能被启用时,该网卡将仅接收那些目标为自身IP地址的数据包,并且只允许源IP是网卡自身IP地址的数据包发送出去。相反,如果此功能关闭,则不对通过该网卡发出或接收的数据包进行IP地址验证。
默认情况下,此功能关闭。
开启源/目的检查的作用
防止IP欺骗:通过验证数据包的源IP地址与实际发送该数据包的设备的IP地址是否匹配,来防止潜在的IP地址欺骗攻击。如果一个数据包的源IP地址与该接口的实际设备IP不符,则该数据包将被丢弃。
增强安全性:启用源/目的检查可以降低未经授权的数据传输风险,特别是在某些情况下,您可能不希望您的服务器充当其他服务的数据包路由点。开启源/目的检查后,只有针对服务器自身产生的流量会被处理,从而防止可能的安全漏洞。
维护网络稳定性和效率:可以避免因错误的路由而导致的数据流混乱问题,有助于保持整个网络系统的稳定运行,并提高网络资源利用率。
需要注意的是,仅靠源/目的检查功能不足以防范所有类型的网络威胁。您需要根据自身业务特点和需求,结合如安全组配置、网络ACL、SSL/TLS加密、身份验证机制、DDoS防护、备份重要数据等多种技术和策略,保护网络免受多种形式的攻击。
支持的地域
当前支持设置源/目的检查功能的地域信息如下:
区域 | 地域名称 | 地域ID |
亚太-中国 | 华北1(青岛) | cn-qingdao |
华北2(北京) | cn-beijing | |
华北5(呼和浩特) | cn-huhehaote | |
华北6(乌兰察布) | cn-wulanchabu | |
华东1(杭州) | cn-hangzhou | |
华东2(上海) | cn-shanghai | |
华东6(福州) | cn-fuzhou | |
华南1(深圳) | cn-shenzhen | |
华南3(广州) | cn-guangzhou | |
亚太-其他 | 新加坡 | ap-southeast-1 |
印度尼西亚(雅加达) | ap-southeast-5 | |
泰国(曼谷) | ap-southeast-7 | |
日本(东京) | ap-northeast-1 | |
韩国(首尔) | ap-northeast-2 | |
欧洲与美洲 | 美国(弗吉尼亚) | us-east-1 |
美国(硅谷) | us-west-1 | |
德国(法兰克福) | eu-central-1 |
可能需要关闭源/目的检查的场景
关闭源/目的检查通常在需要进行特殊网络配置的情况下是必要的,以下是一些常见的场景:
多网卡场景:在具有多个弹性网卡的实例中,可能会遇到数据包从一个网络接口进入但通过另一个网络接口离开的问题(如eth1进eth0出)。如果启用了主网卡的源/目的检查功能,可能会影响到辅助网卡的数据流。
您可以在实例附加网卡后配置策略路由解决此问题。具体操作,请参见为网卡配置策略路由。
网络地址转换:实例作为网络地址转换(NAT)设备时,它需要能够接收来自网络中的其他实例的数据包,并且能够将这些数据包转发到互联网或其他网络。这种情况下,需要关闭源/目的检查以允许流量自由通过。
路由器:当实例被配置为网络路由器时,它需要处理所有经过它的流量,而不仅仅是直接发送给自己的数据包。在这种情况下,关闭源/目的检查是必要的,以便正确转发数据包。
自定义负载均衡器:当服务器充当自定义负载均衡器的角色时,它可能需要接收客户端请求并将这些请求分发到不同的后端服务器上。此时也需要关闭源/目的检查,以允许这样的流量模式。
VPN终端节点:当实例用作VPN服务器时,可能需要处理来自不同网络的数据包,这也要求关闭源/目的检查,以允许这些数据包通过。
高级网络架构:对于更复杂的网络设计,比如实施特定的流量控制规则、集成特殊的防火墙解决方案或者进行详细的网络监控等,也可能需要关闭源/目的检查来满足特定需求。
设置网卡的源/目的检查功能
创建网卡时候开启、关闭源/目的检查
在创建弹性网卡的时候,您可以设置开启或关闭源/目的检查功能。如果您确认不会涉及可能需要关闭源/目的检查的场景,建议您打开该功能,以提高网络安全。
随实例创建网卡
您可以在购买ECS实例时,开启或关闭随实例创建的网卡(主网卡、辅助弹性网卡)的源/目的检查功能。具体操作,请参见自定义购买实例。
部分ECS实例规格不支持在创建实例时绑定辅助弹性网卡,可以在创建实例后单独绑定。更多信息,请参见需要停止实例的ECS实例规格。
购买实例时,最多只能绑定两块弹性网卡,一块为主网卡(自动匹配),另一块为辅助弹性网卡。
单独创建网卡
您可以在单独创建网卡时,配置网卡的源/目的检查功能,然后将网卡绑定到实例上。具体操作,请参见创建并使用弹性网卡。
您也可以通过CreateNetworkInterface,在创建弹性网卡的时候,通过指定SourceDestCheck的值打开、关闭网卡的源/目的检查功能,true表示开启,false表示关闭。
修改网卡的源/目的检查
网卡创建之后,您可以通过修改网卡的属性,打开、关闭网卡的源/目的检查功能。
在控制台修改
登录ECS管理控制台。
在左侧导航栏,选择。
在页面左侧顶部,选择目标资源所在的资源组和地域。
单击目标弹性网卡的ID,进入弹性网卡详情页。
您可以看到源/目的检查功能当前的状态,并且进行设置。
通过API修改
您可以通过调用ModifyNetworkInterfaceAttribute接口,设置SourceDestCheck的值,修改指定NetworkInterfaceId的网卡的源/目的检查功能,true表示开启,false表示关闭。
修改成功后,您可以通过DescribeNetworkInterfaceAttribute查询指定NetworkInterfaceId的网卡的属性,返回参数中的SourceDestCheck表示是否开启源/目的检查,true表示开启,false表示关闭。