本文是ECS安全，將ECS安全的考點和考法做了一個梳理，希望能幫助到各位考生。ECS安全的考點和考法具體如下：

章節：ECS安全

考點：安全組

考法1：安全組的概念和定位

1.不同云服務器ECS實例之間的網絡訪問控制，通過【安全組】實現。

考法2：普通安全組與企業安全組

1.對運維效率、ECS實例規格以及計算節點的規模要求高，使用【企業安全組】最合適。

考法3：默認安全組

1.默認安全組默認打開的端口：ICMP協議、SSH 22端口、RDP 3389端口。

考法4：安全組規則的字段

1.創建安全組的字段包括：名稱、描述、網絡、類型、資源組、標簽、訪問規則。

考法5：安全組規則的優先級

1.安全組規則生效策略是：若規則優先級相同，拒絕策略的規則優先生效，允許策略的規則不生效；若優先級不同，優先級數字小的規則生效。

考法6：安全組使用限制

1.每個ECS實例最多可以加入5個安全組，且ECS至少加入一個安全組。

考法7：安全組的實踐建議

1.安全組應該盡量開放和暴露最好的端口并且生產環境和測試環境使用不同的安全組。

2.僅允許少量請求訪問ECS實例時，可將安全組作為【白名單】使用。

考法8：入方向解決方案

1.ECS添加到了安全組是不需要任何操作立即生效的，特定IP訪問這個安全組也是即刻生效的，可以訪問該安全組內所有的機器。

考法9：WEB服務解決方案

1.新的ECS實例只允許開放特定端口的公網訪問，需要新建一個安全組并新增安全組規則，只允許該端口的公網入流量，并且將該實例從原先的默認安全組移入該安全組。

考法10：互通解決方案

1.同一個安全組下面的實例默認互通，同一個賬號在同一個地域不同安全組情況需要兩個安全組相互授權對方可以訪問。

考法11：遠程連接解決方案

1.使用Xshell客戶端遠程連接Linux系統的ECS實例，安全組規則應該放行【SSH協議】和【22端口】。

考法12：PING命令解決方案

1.避免公網用戶通過ping命令檢查到ECS是否在線：

啟用安全組，拒絕“公網入”的ICMP協議。

啟用ECS內操作系統的防火墻，拒絕“公網入”的ICMP協議。

先將ECS IP解析到一個不常用的四級域名，然后將對外推廣的域名通過CNAME指向以上四級域名。

考法13：安全組內網絡隔離解決方案

針對普通安全組內的實例之間默認網絡互通的情況，您可以修改普通安全組內的網絡連通策略，實現組內隔離。設置安全組內網絡隔離時，需注意以下事項：

僅設置指定的普通安全組內的網絡隔離，不改變默認的網絡連通策略， 即其他已有和新建的普通安全組，以及企業安全組仍采用默認策略。

安全組內網絡隔離是網卡之間的隔離，而不是ECS實例之間的隔離。若實例上綁定了多張彈性網卡，需設置每個網卡所屬安全組的組內網絡隔離。

安全組內網絡隔離的優先級最低，即設置組內網絡隔離后，僅在安全組內沒有任何自定義規則的情況下保證組內實例之間網絡隔離。

以下情況，安全組內實例之間仍然可以互相訪問：

實例同時歸屬于多個安全組時，有一個及以上的安全組未設置組內隔離。

既設置了安全組內隔離，又設置了讓組內實例之間可以互相訪問的ACL。

考法14：錯誤配置安全組問題

1.錯誤配置安全組可能導致的后果包括且不限于：

無法從本地遠程連接（SSH） Linux實例（安全組22端口關閉）

無法遠程桌面連接Windows實例（安全組RDP協議3389端口關閉）

無法遠程ping ECS實例的公網IP（ICMP協議）

無法通過HTTP或HTTPS協議訪問ECS實例提供的Web服務（安全組Web服務的端口被關閉）

ECS無法訪問外網或者其他同地域的云產品

考點：SSH密鑰對

考法1：SSH密鑰對的優勢

1.SSH密鑰的兩個優勢：

安全性：

SSH密鑰對登錄認證更為安全可靠。

密鑰對安全強度遠高于常規用戶口令，可以杜絕暴力破解威脅。

不可能通過公鑰推導出私鑰。

便捷性：

如果您將公鑰配置在Linux實例中，那么，在本地或者另外一臺實例中，您可以使用私鑰通過SSH命令或相關工具登錄目標實例，而不需要輸入密碼。

便于遠程登錄大量Linux實例，方便管理。如果您需要批量維護多臺Linux實例，推薦使用這種方式登錄。

考點：管理身份和權限

考法1：RAM與STS的區別

1.RAM和STS是阿里云提供的權限管理系統。RAM的主要作用是控制賬號系統的權限；

2.STS是一個安全憑證的管理系統，為RAM用戶提供短期訪問權限管理。

3.RAM允許在一個阿里云賬號下創建并管理多個身份，并允許給單個身份或一組身份分配不同的權限，從而實現不同用戶擁有不同資源訪問權限的目的。

考法2：API鑒權

1.AccessKeySecret不支持通過控制臺直接查看。

2.【Access Key ID】用于標識訪問者身份。

考點：基礎安全服務

考法1：開通方式

基礎安全服務是自動開通，無需單獨購買。

考法2：支持功能

1. 云服務器ECS提供了基礎安全服務，包括異常登錄檢測、漏洞掃描、基線配置核查等。您可以在ECS控制臺或者云安全中心看到您的云服務器安全狀態

2.DDoS基礎防護是免費的，而DDoS高防IP是需要付費購買的功能

考法3：產品支撐

1.【云安全中心】提供云計算服務的基礎安全加固和防護。