You need to enable JavaScript to run this app.
导航
云服务器
  • 文档首页
    • /云服务器/云服务器ECS/用户指南/网络/安全组/安全组概述
安全组概述
最近更新时间:2024.11.05 10:26:51首次发布时间:2021.07.09 13:31:09
我的收藏

简介

安全组用于控制云服务器各网卡的出入流量,其基于白名单原理设计。用户可根据自身需求添加安全组规则,为网卡放通所需流量。

例如,当某云服务器通过80端口对外提供服务时,其网卡关联的安全组必须添加放通80端口入方向流量的规则,从而确保外部能够正常访问该云服务器的相关服务。

说明

  • 为保障云服务器的安全,对其网卡关联的安全组,请遵循最小范围原则,谨慎放通IP地址和端口。
  • 为方便用户使用,系统默认为安全组添加了部分规则放通流量,详情请参见 安全组分类

分类

根据安全组的创建方式进行分类,如下表:

类别说明

默认安全组

创建私有网络时,系统自动创建。随私有网络删除而删除,不支持手动删除。为方便用户使用,其默认添加了部分规则(支持手动修改 )放通流量:

  • 出方向:放通所有流量,即可以访问任意地址的资源。
  • 入方向:放通全网段(0.0.0.0/0,即任意地址)的ICMP、TCP的22、3389、80、443端口,放通网卡被本安全组内其他网卡访问的流量。

自定义安全组

用户手动创建。 为方便用户使用,其默认添加了部分规则(支持手动修改)放通流量:

  • 出方向:放通所有流量,即可以访问任意地址的资源。
  • 入方向:放通网卡被本安全组内其他网卡访问的流量。
托管安全组创建需要安全组的云服务(如NAT网关、VPN网关)时,系统自动创建。云服务托管该安全组,用户仅支持查看,生命周期随该云服务。

安全组规则

  • 安全组有状态,返回数据(TCP连接的老化时间为900s、ICMP连接的老化时间为30s)自动放通。即网卡主动访问时,仅出方向规则允许即可;网卡被访问时,仅入方向规则允许即可。
  • 变更安全组规则将立即生效,已建立的长连接和后续新建的连接均受规则控制。
  • 源地址为自身安全组(如default)的规则,表示网卡允许被本安全组内其他网卡访问,若删除,则将导致安全组内的网卡无法私网互通。

组成

为安全组添加规则放通流量,安全组规则的参数说明如下:

参数
说明

入方向/出方向

流量的方向。

  • 入方向:网卡的入方向流量,即外部访问云服务器的流量。
  • 出方向:网卡的出方向流量,即云服务器访问外部的流量。

优先级

安全组规则的优先级。流量匹配安全组规则时,先对比优先级,若相同再对比规则策略。

  • 优先级可以相同。
  • 取值范围为1~100,1为最高优先级。

策略

流量的策略。若优先级相同,则拒绝优先于允许。

  • 允许:放通流量。
  • 拒绝:拒绝流量通行。适用于在放通大段CIDR流量时,拒绝其中指定IP的流量通行。
协议类型支持ALL、TCP、UDP、ICMP、ICMPv6。

端口范围

根据不同协议类型对端口范围进行限定。

说明

端口25、135、139、444、445、5800、5900被部分运营商标记为高危端口,即使安全组放通该端口,受限用户依然无法访问,故建议您请使用其他非高危端口。

源地址/目的地址

  • 源地址:仅入方向配置,表示源地址的资源访问云服务器。
  • 目的地址:仅出方向配置,表示云服务器访问目的地址的资源。

示例:允许12.156.XX.XX/28范围内的资源通过80端口,以TCP协议访问安全组内的网卡。

入方向/出方向
优先级
策略
协议类型
端口范围
源地址
入方向1允许80TCP12.156.XX.XX/28

匹配说明

网卡关联一个或多个安全组:

  • 若所有安全组内均无规则,则拒绝网卡所有出入方向流量。

  • 若存在安全组内有规则,则网卡流量匹配过程如下(以网卡入方向流量为例,出方向流量同理):

    1. 优先级排序:汇总所有安全组的入方向规则,并按照优先级由高到低排序。

      说明

      • 优先级数值越小则优先级越高。
      • 两条入方向规则优先级相同时,拒绝策略优先于允许策略。
    2. 匹配:流量从上到下依次匹配入方向规则,若成功匹配,则根据规则的策略,允许或拒绝流量通行,并结束匹配操作;若所有规则均未成功,则拒绝该流量通行。

使用限制

更多关于安全组的使用限制,请参见 约束限制

使用流程

  1. 创建安全组
  2. 关联网卡
  3. 添加安全组规则

更多操作可参考安全组用户指南

实践建议