导航
安全组概述
最近更新时间:2024.11.05 10:25:14首次发布时间:2021.07.09 13:30:52
简介
安全组由一系列安全组规则组成,用于控制网卡的出入流量。
安全组基于白名单原理设计,即安全组默认拒绝网卡出入向流量,您可按需添加安全组规则,放通流量。
说明
- 为保障安全组内资源的安全,请遵循最小范围原则,谨慎放通IP地址和端口。
- 为方便用户使用,系统默认为安全组添加了部分规则放通流量,详情请参见 安全组分类 。
分类
根据安全组的创建方式进行分类,如下表:
| 类别 | 说明 |
|---|---|
默认安全组 | 创建私有网络时,系统自动创建。随私有网络删除而删除,不支持手动删除。为方便用户使用,其默认添加了部分规则(支持手动删除)放通流量:
|
自定义安全组 | 用户手动创建。 为方便用户使用,其默认添加了部分规则(支持手动删除)放通流量:
|
| 托管安全组 | 创建需要安全组的云服务(如NAT网关、VPN网关)时,系统自动创建。云服务托管该安全组,用户仅支持查看,生命周期随该云服务。 |
安全组规则
组成
为安全组添加规则,放通流量,安全组规则的参数说明如下:
参数 | 说明 |
|---|---|
入方向/出方向 | 流量的方向。
|
优先级 | 安全组规则的优先级。
|
策略 | 流量的策略。若优先级相同,则拒绝优先于允许。
|
| 协议类型 | 支持ALL、TCP、UDP、ICMP、ICMPv6。 |
| 端口范围 | 根据不同协议类型对端口范围进行限定。 |
源地址/目的地址 |
|
说明
- 安全组有状态,返回数据(TCP连接的老化时间为900s、ICMP连接的老化时间为30s)自动放通。即网卡主动访问时,仅出方向规则允许即可;网卡被访问时,仅入方向规则允许即可。
- 变更安全组规则将立即生效,已建立的长连接和后续新建的连接均受规则控制。
- 源地址为自身安全组(如default)的规则,表示网卡允许被本安全组内其他网卡访问,若删除,则将导致安全组内的网卡无法私网互通。
示例:允许12.156.XX.XX/28范围内的资源通过80端口,以TCP协议访问安全组内的网卡。
入方向/出方向 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 |
|---|---|---|---|---|---|
| 入方向 | 1 | 允许 | 80 | TCP | 12.156.XX.XX/28 |
匹配说明
网卡关联一个或多个安全组:
若所有安全组内均无规则,则拒绝网卡所有出入方向流量。
若存在安全组内有规则,则网卡流量匹配过程如下(以网卡入方向流量为例,出方向流量同理):
- 优先级排序:汇总所有安全组的入方向规则,并按照优先级由高到低排序。
说明
- 优先级数值越小则优先级越高。
- 两条入方向规则优先级相同时,拒绝策略优先于允许策略。
- 匹配:流量从上到下依次匹配入方向规则,若成功匹配,则根据规则的策略,允许或拒绝流量通行,并结束匹配操作;若所有规则均未成功,则拒绝该流量通行。
- 优先级排序:汇总所有安全组的入方向规则,并按照优先级由高到低排序。
使用限制
更多关于安全组的使用限制,请参见约束限制。
实践建议
- 建议对网卡的用途、私网公网的访问需求分类后,设置对应的安全组。避免一个安全组内的规则过于冗余复杂,管理维护难度大。
- 建议您为应用添加安全组规则时授权精确。例如:
- 选择开放具体的端口,如22。不建议设置为端口范围,如22-30。
- 添加安全组规则时,谨慎放通0.0.0.0/0(全网段)的流量,建议设置成具体的IP地址。
- 建议谨慎放通SSH(22)、Redis(6379)、MemCache(11211)、MySQL(3306)、SMB(445)、RDP(3389)、SQLServer(1433)等业务常用端口。更多云服务器常用端口请参见 弹性云服务器常用端口 。
应用示例请参见 安全组应用示例 。