You need to enable JavaScript to run this app.
导航
私有网络
  • 文档首页
    • /私有网络/常见问题/安全组FAQ
安全组FAQ
最近更新时间:2024.11.05 10:26:43首次发布时间:2021.07.09 13:30:52
我的收藏

云服务器加入安全组后,可以变更安全组吗?

可以。为云服务器更换安全组,本质上是为云服务器绑定的网卡更换安全组,您可以参考更新网卡安全组完成操作。

一个账户能拥有多少个安全组?多少条安全组规则?云服务器可以选择关联多少个安全组?

  • 不限制单个账户的安全组个数。
  • 单个安全组默认支持创建的规则数量:
    • 入方向:IPv4规则200条,IPv6规则200条;
    • 出方向:IPv4规则200条,IPv6规则200条;
    • 如果默认配额无法满足需要,请前往 配额中心,申请提升配额。
  • 云服务器的每张网卡最多可关联5个安全组。

安全组服务如何计费?

当前安全组服务不收取费用。

安全组规则的优先级是如何定义的?

当前安全组规则优先级的取值范围为1 ~ 100,数字越小代表优先级越高。
在添加安全组规则时,默认优先级是1,即最优先。在安全组规则优先级相同的情况下,“拒绝”策略优先级高于“允许”策略。

当网卡关联多个安全组时,其流量如何匹配?

安全组由一系列的安全组规则组成,其本身无优先级,而安全组规则有优先级。

匹配过程如下(以网卡入方向流量为例,出方向流量同理):

  1. 汇总所有安全组的入方向规则,并按优先级从高到低排序。

    说明

    • 优先级数值越小则优先级越高。
    • 两条入方向规则优先级相同时,拒绝策略优先于允许策略。
  2. 流量从上到下依次匹配入方向规则,若成功匹配,则根据规则的策略,允许或拒绝流量通行,并结束匹配操作;若所有规则均未成功,则拒绝该流量通行。

为什么云服务器网卡配置的安全组规则未生效?

建议按照以下几个方向检查安全组配置是否有误:

  • 安全组规则方向是否设置错误,例如将入方向规则添加到出方向规则下。
  • 安全组规则协议类型是否选择正确。
  • 安全组规则中允许访问的端口是否为高危端口。高危端口在部分地区部分运营商无法访问,建议您修改高危端口为其它非高危端口来承载业务。
  • 安全组规则中允许访问的端口在云服务器中未启用。
  • 云服务器实例绑定了多个安全组且规则相互冲突,例如安全组1中允许访问的端口,在安全组2中设置了优先级更高的拒绝访问规则,那么相应端口无法访问。
  • 云服务器设置了其他访问控制,如防火墙等,阻挡了相应端口的访问。

无法访问公有云某些端口时怎么办?

问题现象: 访问公有云特定端口,在部分地区部分运营商无法访问,而其它端口访问正常。

问题分析: 部分运营商判断如下表的端口为高危端口,默认被屏蔽。

协议端口
TCP42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996
UDP135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996

解决方案: 建议您修改敏感端口为其它非高危端口来承载业务。

变更安全组规则是否对原有流量实时生效?

安全组是有状态的。
安全组使用连接来跟踪进出相关网卡的流量信息,在变更安全组规则或使用该安全组创建/删除网卡时,都会自动清除该安全组下所有网卡入方向的跟踪连接。此时,流入或流出网卡的流量会被当做新的连接,需要重新匹配相应的出入方向安全组规则,以保证规则能立即生效,从而保障流入网卡的流量的安全。

使用了安全组是否意味着不可以使用iptables?

否。安全组和iptables可以同时使用,您的流量会经过两次过滤,流量的走向如下:

  • 出方向:实例上的进程 > iptables > 安全组。
  • 入方向:安全组 > iptables > 实例上的进程。

云服务器已经全部移出,为什么安全组无法删除?

  • 创建私有网络时,火山引擎平台会自动创建一个默认安全组,默认安全组不支持删除。
  • 安全组支持关联云服务器、负载均衡、辅助网卡等,请确认待删除的安全组已解关联所有实例。若安全组存在关联的实例,请先将关联实例移出安全组,再执行安全组删除操作。

安全组和网络ACL哪个优先级更高?

安全组和网络ACL属于不同维度的安全访问策略,不具有优先级高低的可比性。

安全组作用于ECS实例网卡,网络ACL作用于子网,在访问流量在进入ECS实例前,需要先经过该ECS实例所属子网关联的网络ACL规则的过滤,然后再经过安全组规则的过滤。如网络ACL入方向规则中拒绝了来自某网段的流量,安全组入方向规则中允许该网段的流量,ECS实例上也不会流入该网段的流量。

关于安全组和网络ACL区别的更多介绍,请参见网络ACL与安全组差异

安全组如何放通或拒绝指定的IP及端口?

您可参考如下示例,添加安全组规则

  • 放通指定IP
    示例:允许安全组内的云服务器使用80端口访问10.10.10.10。
    方向优先级策略协议类型端口范围源地址
    出方向1允许TCP8010.10.10.10/32
  • 拒绝指定IP
    示例:拒绝10.10.10.10访问安全组内云服务器的80端口。
    方向优先级策略协议类型端口范围源地址
    入方向1拒绝TCP8010.10.10.10/32

批量导入安全组规则失败是什么原因?

导入的文件可能存在如下问题:

  • 参数格式不正确。参数格式详情请参考 下载并填写模板
  • 安全组重复。文件中的安全组规则重复,或文件中的安全组规则与已有的安全组规则重复。
  • 文件格式不正确。仅支持.csv、.xls、.xlsx。
  • 编码格式不兼容。若导入乱码,请修改编码格式后重试。

为什么云服务器之前可以接收对端资源的TCP数据,现在却无法接收了?

先确认对端资源及相关资源的状态,若无异常,再确认TCP连接是否超时断开。

因为安全组是有状态的,所以当TCP连接建立时,允许对端资源的数据传输至本端资源;然而又因为火山引擎TCP连接的老化时间为900s,当TCP连接老化断开后,若本端资源的安全组入方向未放通对端资源的流量,则对端资源的数据无法传输至本端资源。

例如:火山引擎存在两台云服务器,彼此的主网卡加入不同的安全组,彼此之间建立TCP连接。若需要对端云服务器的数据不受TCP老化时间的限制,正常传输至本端云服务器,可采用如下三种方案:

  • 方案一:将两台云服务器的主网卡加入同一个安全组,并保证组内存在同安全组内网卡互通的规则。
  • 方案二:为两台云服务器主网卡的安全组配置出入方向规则,均允许主动访问对方和被对方访问。
  • 方案三:为本端云服务器配置TCP keepalive维持连接活性。